Trace Id is missing

SDP とは? ゼロ トラスト セキュリティで注目されている技術をわかりやすく解説

2023 年 6 月 23 日

近年、クラウド化の進展に伴い、ゼロ トラスト セキュリティというアプローチが注目されています。中でも、ゼロ トラストのキー テクノロジーとして話題を集めているのが SDP (Software Defined Perimeter) です。SDP とは、アクセス制御をソフトウェアで実現することで、物理的な境界では防ぎきれない脅威に対処する技術です。今回は、SDP が注目されている背景や、SDP の概要とメリット、マイクロソフト製品による SDP 実現方法と注意点について解説します。

クラウドのセキュリティ イメージ
  1. SDP が注目されている背景
    1-1. クラウド サービスの普及とセキュリティ課題
    1-2. ゼロ トラスト セキュリティの概念と重要性
  2. SDP の概要とメリット
    2-1. SDP の概念としくみ
    2-2. SDP のメリット
    2-3. VPN との違い
  3. SDP の構成要素と接続の流れ
    3-1. SDP の構成要素
    3-2. SDP の接続の流れ
  4. マイクロソフト製品による SDP 実現方法
    4-1. Azure Active Directory (Azure AD)
    4-2. Microsoft Intune
  5. まとめ

1. SDP が注目されている背景

企業におけるクラウド サービス利用が拡大し、リモート ワークをはじめとした働き方の多様化が進む中、従来型のセキュリティ対策では安全性の確保が難しくなっています。そこで注目されているのが、ゼロ トラスト セキュリティのアプローチです。ゼロ トラスト=すべてのアクセスを信頼せず検証を行うことで、情報資産を守る方向性にシフトしているのです。

1-1. クラウド サービスの普及とセキュリティ課題

クラウド サービスの普及に伴い、企業では主に以下のような課題が発生しています。

  • ネットワーク境界の拡大
    自宅やカフェ、公共交通機関などから、インターネット経由でリモート ワークを行う機会が増えたことで、十分なセキュリティ対策の実施が難しくなっています。以前は、企業ネットワークは物理的なオフィス内に限定されていたため、セキュリティ対策は比較的簡単でした。しかし現在では、従業員がさまざまな場所から企業のシステムやデータにアクセス可能です。企業ネットワークの境界が拡大かつ曖昧化したことにより、セキュリティ対策が複雑化しています。
  • さまざまなデバイスからのアクセス
    近年では、スマートフォンやタブレット、ノート パソコンなど、多種多様なデバイスが業務で使用されるようになりました。デバイスごとのセキュリティ管理が難しくなったため、これまでにない対策が必要です。たとえば、デバイス紛失や盗難に対する対策や、デバイスからの不正アクセスを防ぐための認証機能の強化などが求められています。
  • セキュリティ意識の低下
    従業員が自宅や外出先で作業することが増えたため、セキュリティに対する意識が低下し、情報漏えいやマルウェア感染のリスクが増大しています。

1-2. ゼロ トラスト セキュリティの概念と重要性

ゼロ トラスト セキュリティとは、すべてのアクセスを信頼せず、継続的に検証および認証を行うアプローチです。従来型セキュリティでは、内部ネットワークを信頼されたものとして扱っており、境界防御を突破した脅威に対処できません。ゼロ トラスト セキュリティは、ネットワーク内外のすべてのアクセスを疑い、ユーザーやデバイスのアクセス権限を厳密に管理することで、内部からの情報漏えいリスクや不正アクセスを最小限に抑えられます。

2. SDP の概要とメリット

次に、SDP の概要とメリット、従来の境界型セキュリティ対策である VPN との違いについて解説します。

2-1. SDP の概念としくみ

SDP は、従来の境界型セキュリティの課題に対処するために開発された新しいセキュリティ技術です。アクセス制御をソフトウェアで実現し、物理的な境界だけでは防ぎきれない脅威に対処できます。クラウド サービスの利用やリモート アクセスが増え、企業のネットワーク境界が曖昧となった現代のビジネス環境において、従来の VPN やファイアウォールによるセキュリティ対策では不十分です。
SDP では、認証とアクセス制御が接続ごとに行われるため、従来の VPN と比較してセキュリティの向上が期待できます。また、複数の認証要素を組み合わせて、アクセス制御をより細かく設定することが可能です。これにより、ユーザー、デバイス、アプリケーション、およびデータへのアクセス制御が強化され、情報漏えいやマルウェア感染リスクを低減できます。

SDP の概念としくみ: 社内ネットワーク・サーバ→SDP コントローラ→アクセスごとにユーザーやデバイスの承認を実施→社内・自宅・外出先

2-2. SDP のメリット

SDP を導入することで、以下のようなメリットを享受できます。

  • セキュリティ強化
    SDP は、ゼロ トラスト セキュリティに関するキー テクノロジーの 1 つです。すべてのアクセスを信頼せず継続的な検証および認証を行うことで、情報漏えいや不正アクセスのリスクを最小限に抑えられます。
  • パフォーマンス向上
    SDP は、ソフトウェア ベースのアクセス制御により、物理的な境界を越えてリソース間で最適な接続ルートを選択するほか、ユーザーやデバイスがアクセスできるリソースを厳密に制御します。これにより、リソースへの効率的なアクセスが可能となり、ネットワーク パフォーマンスが向上します。
  • 導入、運用管理コストの削減
    SDP は、従来の VPN に比べて導入や運用のコストを削減でき、効率的なセキュリティ管理が可能です。クラウド ベースのサービスが多く、従来の VPN ゲートウェイのようなハードウェア設備は必要ありません。また、アクセス制御をソフトウェアで実現するため、スケールアップ、スケールダウンが容易です。拡張性が高く、長期的なコスト削減につながるでしょう。

2-3. VPN との違い

従来の境界型セキュリティである VPN と SDP の違いは以下のとおりです。

  • 認証タイミング
    VPN では、ユーザーがネットワークに接続する際、一度だけ認証が行われます。一度認証されれば、その後は制限なく通信可能です。一方で SDP は、接続ごとに認証が行われます。リアルタイムでのアクセス制御が可能となり、ユーザーの権限やデバイスのセキュリティ状況が変わった場合もすぐに対応できます。
  • 認証要素の数
    通常、VPN は単一要素認証を採用しており、ユーザー名とパスワードによる認証を行います。SDP では、ユーザーの認証情報だけではなく、デバイス、アプリケーションへのアクセス権限など複数の認証要素を組み合わせることで、よりセキュアな認証が可能です。
  • アクセス制御の細やかさ
    VPN では、一度認証が成功すると、企業ネットワーク内のリソースへのアクセスが一律に許可されます。また、ユーザー単位のアクセス制御が主であり、リソース単位での細かな制御が難しい場合があります。一方、SDP は各リソースへのアクセスに対して認証が行われる点が特長です。これにより、ユーザーに対して個別のリソースへのアクセス権限を細かく設定できます。

中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載

おすすめのガイドブック
Microsoft Defender for Business カタログ
ダウンロード (無料)
Microsoft Defender for Business ガイドブック Windows を知り尽くした セキュリティ ツール

3. SDP の構成要素と接続の流れ

ここでは、SDP の構成要素と、SDP によるネットワーク接続の流れについて解説します。

3-1. SDP の構成要素

SDP の構成要素は以下のとおりです。

  • SDP コントローラー
    SDP コントローラーは、SDP の中心的な役割を担う要素です。アクセス ポリシーを管理し、接続元ホストと接続先ホストに対して認証とアクセス制御を行います。また、セキュアな通信トンネルを確立するために必要な情報を提供します。
  • 接続元 SDP ホスト (Initiating-SDP ホスト)
    接続元 SDP ホスト (Initiating-SDPホスト) は、アクセスを行いたいユーザーやデバイスです。SDP コントローラーに対してアクセス要求を送信し、接続先ホストへセキュアな通信トンネルを確立します。
  • 接続先 SDP ホスト (Accepting-SDP ホスト)
    接続先 SDP ホスト (Accepting-SDPホスト) は、接続元ホストからのアクセスを受け入れるサーバーやアプリケーションです。SDP コントローラーからの認証および認可情報を受け取り、許可された接続元ホストからのアクセスを受け付けます。

3-2. SDP の接続の流れ

SDP の接続の流れは以下のとおりです。

SDP 接続の流れ: 接続確立→認証→接続許可→通信→接続切断
  1. 接続確立フェーズ
    接続元 SDP ホストは、SDP コントローラーに対して接続要求を行います。SDP コントローラーは、接続元  SDP ホストと接続先 SDP ホストとの間でセキュアな接続を確立するための情報を提供します。
  2. 認証フェーズ
    接続元 SDP ホストは、自身の情報 (デバイス情報、ユーザー情報など) を SDP コントローラーに送信します。SDP コントローラーは受け取った接続元 SDP ホストの情報をもとに、セキュリティ ポリシーに沿って接続を許可できるかどうかを判断します。
  3. 接続許可フェーズ
    SDP コントローラーが認証に成功したら、接続元 SDP ホストに接続先 SDP ホストの情報 (IPアドレス、ポート番号など) を提供します。接続元 SDP ホストは、接続先 SDP ホストの情報を基に接続先 SDP ホストへのアクセスを試みます。
  4. 通信フェーズ
    接続元 SDP ホストと、接続先 SDP ホストとの間で、暗号化された仮想的なネットワーク (トンネル) が確立されます。このトンネルを通じて、接続元 SDP ホストと接続先 SDP ホスト間で安全な通信が行われます。
  5. 接続切断フェーズ
    通信が終了したら、暗号化されたトンネルが消滅します。再度通信を開始するには、改めて接続確立→認証→接続許可のフェーズを経る必要があります。これにより、堅牢なセキュリティが維持されます。

4. マイクロソフト製品による SDP 実現方法

マイクロソフト製品で SDP を実現するには、Azure AD や Microsoft Intune を組み合わせて構成します。ここでは、各製品の概要と、SDP 実現のための機能について解説します。

4-1. Azure Active Directory (Azure AD)

Microsoft Azure Active Directory (Azure AD) は、マイクロソフトが提供するクラウド ベースの ID 管理サービスで、ユーザーやデバイスの認証とアクセス管理を行います。SDP を実現するためには、以下の機能を活用しましょう。

  • マルチ ファクタ認証 (MFA)
    マルチ ファクタ認証 (MFA) は、パスワード以外の認証要素 (生体認証やワンタイム パスワードなど) を追加することで、アカウント乗っ取りを防ぎます。MFA により、SDP の基本的な目的であるアクセス制御の強化を実現可能です。
  • 条件付きアクセス
    条件付きアクセスは、ユーザー属性、デバイス属性、アプリケーション属性、ネットワーク位置などに基づいてアクセス制御を行う機能です。アクセス時のリスク状況 (不審なログインや通常と異なる地域からのアクセスなど) に応じて、追加の認証要素 (MFA) の要求やアクセス拒否が可能となり、リスクに応じた迅速かつ適切なセキュリティ対策を実施できます。

4-2. Microsoft Intune

Microsoft Intune は、組織のデバイスを一元的に管理するためのクラウド サービスです。デバイスのアクセス制限、Windows Update などの更新状態の確認、インストールされているアプリケーションの管理や利用制限などが可能です。SDP を実現するためには以下の機能を活用します。

  • モバイルデバイス管理 (MDM)
    MDM は、企業が使用するデバイス (スマートフォン、タブレット、PC など) の管理を一元化する機能です。デバイス登録や設定の適用、セキュリティ ポリシーの管理、デバイスの遠隔操作 (リモート ロックやデータ消去) などが可能です。各デバイスに適切なセキュリティ対策が施されていることを確認し、SDP のデバイス レベルでのアクセス制御がサポートされます。
  • モバイル アプリケーション管理 (MAM)
    MAM は、企業データを保護するために、ユーザーが利用するアプリケーションを一元管理する機能です。アプリケーションの配布やアップデート、アプリケーションごとの設定やデータ保護ポリシーの適用、制限付きアクセスの設定などが可能です。これにより、アプリケーション内のデータへのアクセス制御や情報漏えいの防止が実現し、SDP のアプリケーション レベルでのアクセス制御がサポートされます。
  • Azure AD と MDM の統合
    Microsoft Intune の MDM 機能は、Azure AD との連携が可能です。MDM と Azure AD を統合すれば、デバイス管理とアクセス制御を効率的に行えます。Azure AD の条件付きアクセス ポリシーを統一的に管理することで、デバイスの状態や場所、アクセス時刻など細かい条件によりアクセス制御を行い、リスクの低減とより強固なセキュリティを実現できます。

5. まとめ

SDP は、ゼロ トラスト セキュリティ実現のために欠かせない技術です。導入においては、SDP の概念やしくみを理解したうえで、自社に最適なソリューションを選定することが重要です。
クラウド時代に適した強固なセキュリティを確立するために、Azure Active Directory (Azure AD) や Microsoft Intune の導入を検討してみてはいかがでしょうか。

リモートワーク・ハイブリッドワークに適した環境設置のために

リモートワーク・テレワーク・在宅勤務環境を安全・快適に実現するためには、「セキュリティの確保」「Web 会議のためのデバイス選択」「グループワークのためのアプリケーション」など検討する課題も多く、またこれらを潤沢な資金で準備するのではなくコスト削減につなげることが大切です。

これらの達成のための Microsoft 365、Excel の使い方や、リモートワーク・ハイブリッドワーク環境を充実させるために以下の記事が参考になります。

中小企業のサイバー セキュリティのために生まれた Microsoft Defender for Business の魅力満載

Microsoft Defender for Business ガイドブック Windows を知り尽くした セキュリティ ツール

Microsoft Defender for Business カタログ

Windows を知り尽くしたセキュリティ ツール
ダウンロード (無料)

ご購入検討の問い合わせ先

電話アイコン

お電話で購入相談

受付時間: 9:00 - 17:30 (土日祝日、弊社指定休業日を除く)

0120-167-400
封筒アイコン

Web フォームで購入相談

フォームを開く

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

トップに戻る