＜ゼロトラスト・セキュリティ③～ソフトウェア定義境界(SDP)～＞

さて、ゼロトラスト・セキュリティの最終回となる今回は、SDPについてご紹介させて頂こうと思います！

ここまで①ではIAPについて、②ではマイクロセグメンテーションについてご紹介をしてきました!(^^)!

※ 前回までの記事は下記からどうぞ

最近の流れとして、

「ゼロトラスト・セキュリティを実現するには①のIAPが良い！」

みたいに言っている組織が多くなっている印象ですが、実際の導入数等はどうなんでしょうか・・・

IAPはセキュリティ的には良いコンセプトですが、いざ導入しようとすると大変そうな気がします😢

さて、本題のSDPについてです！

が、僕的にはこのSDPって結構曲者なんです。野球界でいえば元木ですかね(笑)

ギャグのセンスは別として、何故曲者かというと、

「他のセキュリティ概念との区分が曖昧だから」です。

順を追ってご紹介します！

はじめにSDPの流れについて簡単にご説明します。ここは重要です☆☆

【SDPの流れ】

・ユーザーは何らかのサービスへアクセスする際、必ずSDPクライアントからSDPコントローラーに最初にアクセスする

・コントローラーでユーザーの認証を実施する

・認証がOKならば、そのユーザーへサービスを提供するためSDPゲートウェイからユーザーへVPN通信を確立する

・ユーザーははれて、アクセスしたい先にいける(≧▽≦)

だいたいの流れについて、イメージを頂けたでしょうか？

こうみるとIAPにも似ているし、従来のVPNにも似ていると感じませんか？その他、CASB(=Cloud Accsees Security Broker )なんかにも似ています．．

本来であれば、

それぞれの違いについてご紹介しようと予定していたのですが、辞めることにしたんです。

何故かというと、製品・サービスによって「IAPとも言えるし、SDPとも言える」「IAPとしか言えない」「CASBとも言えるし、SDPとも言える」みたいな感じになっているからです。

他の例でも、FWとIPSの違いや、次世代FWとUTMの違いってなかなか難しいですよね・・・

少し話はズレますが、何らかの製品・サービスを導入する際って、案外同じ括りの製品で比較しようとしがちではないでしょうか？

原点回帰的な感じになってしまいますが、本来あるべきなのは、

【導入により達成したい目的】を明確にし、【その実現方法がなんであるか】を考えることが重要だったりしますよね。(釈迦に説法かもしれませんが・・・m(__)m)

なのでここでは、市場的にSDP製品と言われていようが、IAP製品と言われていようが、関係ないと割り切って頂き、最後に以下のSDPのポイントを覚えて頂いて「SDPって概念はこんな感じなんだな～～」と思ってもらえれば幸いです！

【SDPのポイント】

・ユーザーは必ず認証を受けるため、一定のセキュリティレベルが確保できる

・ユーザーの認証時はIPだけでなく、OS情報、マルウェアスキャン、時刻などの要素により認証が可能

・ユーザー側にはクライアントが必要となる

・ゲートウェイはサービス(SaaS、自社サイト、DC等)毎に必要となる

・ゲートウェイからのVPN通信確立があるため、クライアント側のFW設定をする必要がある

⇒提供サービスが増えたりするたびに、様々な設定変更を実施する必要があるということになります！

以上です！

CyberSEALs’s diary