SDPとVPNの違い

SDPとは？

SDP(Software Defined Perimeter)とは、ネットワークの境界をソフトウェアで定義し、必要なサービスへのアクセスを制御するセキュリティ技術です。日本語訳では、ソフトウェアによる境界の定義となります。

役割としては、別々のネットワークに属する2点のコンピュータ間に仮想的なネットワークを構築し、接続を提供する技術です。
SDPでは通信する度に認証を行うため、一度通信したことのある場合でも毎回認証を通過する必要があります。
ネットワーク間に境界を設けてセキュリティチェックを行うことで安全性の高いネットワーク接続を実現します。

従来の考え方では、外部から攻撃された場合に、境界部分によって内部への侵入を防ぎます。境界で防ぐことで内部ネットワークを守るというのが、境界型セキュリティの基本的な考え方です。
境界型のセキュリティでは、内側は安全・外側は危険があると分けて考えていました。

しかし現在では、テレワークやクラウドサービスの活用によって、ネットワーク環境の変化や複雑化が進んでいるため、境目が曖昧となり従来の境界型セキュリティの考え方だけではネットワーク接続における安全性が確保できない状況となってきています。
そこで「ゼロトラスト」の考え方が生まれました。

ゼロトラストとは

ゼロトラストとは、全てを信頼しないという意味合いで、すでにネットワーク内部への不正アクセスやマルウェア感染が起きているかもしれないことを前提に、セキュリティを確保します。

SDPの基本的な仕組み

SDPの構成要素

SDPは、ソフトウェアによりユーザーとアクセス対象の間に仮想のネットワーク接続を構築します。

SDPは、以下のSDPホストとコントローラーによって構成されます。
・コントローラー
・接続元ホスト（Initiating-SDPホスト）
・接続先ホスト（Accepting-SDPホスト）
ホスト間の接続をコントローラーが一元的に制御します。

接続の流れ

SDP接続では、はじめに接続元ホストと接続先ホストがそれぞれコントローラーに対して自身の情報開示や接続要求を行います。そしてコントローラーによって認証が許可された後に、接続元ホストから接続先ホストへ暗号化された仮想ネットワークを通じて通信が行われます。
ホスト間での通信が終了すると、仮想ネットワークは消滅します。そのため、再度通信を行いたい場合は再度認証が必要です。

SDPの特徴

セキュリティレベルの向上

SDPによりセキュリティレベルの向上が見込めます。ホストはSDPコントローラーにより管理されているため、ホストが他のホストから直接攻撃を受けるリスクを軽減できるためです。

セキュリティコストの削減

SDPではセキュリティコストを削減できます。SDPは基本的にクラウドを利用するため、1度導入すればハードウェアの追加購入コストが不要です。
従来のVPNでは、拠点ごとにゲートウェイの購入が必要で、ネットワーク規模に応じて機器コストやライセンスコストが高くなる問題がありましたが、SDPでは、コストへの影響なく柔軟にネットワーク規模を変更できます。

導入・運用工数の削減

SDPはソフトウェア導入だけで構築できるため、専門知識がそこまでなくても導入や運用がしやすい仕組みです。
SDPコントローラーによって、一元的に通信を管理しているため、今後ホストが増加しても運用負荷があまり大きくならないことも利点です。

VPNとの違い

SDPとVPNでは主に3つの違いが挙げられます。

認証タイミング

VPNはネットワーク接続前に1回のみ認証を行うのに対し、SDPは接続前・通信中・接続後の3回認証を行います。

認証要素の数

認証要素に関しては、VPNはIDとパスワードの組み合わせの1つの要素でアクセス許可するのに対し、SDPはデバイスやアクセス場所、OSなど複数の要素を用いてアクセス許可を行います。

アクセス制御の細かさ

VPNは1回のネットワーク接続で全体アクセスが可能になりますが、SDPではアクセス履歴に関わらず、毎回ユーザー単位で細かくアクセス制御を行います。

SDP
ゼロトラスト
VPN

まとめ

テレワークやクラウドサービスの活用が進んでいく環境の普及によって、各企業のセキュリティ対策の考え方や方法が変化してきました。
特に「ゼロトラスト」の考え方によって完全に安全な環境はないという観点から誕生したSDPが、近年では主流になってきました。
時代が進んで技術がどのように発達したとしても、セキュリティ対策は絶対的に必要な要素となるため今回記述させていただきました。