「AppGate SDP」は、アプリケーションのインフラアクセスを許可する前に、デバイスおよびユーザの認証を行い、認証された後にユーザが予め使用を認められたアプリケーションへの制限付きアクセス権が付与され、アプリケーションへのネットワーク接続が許可されるという仕組みを実現した次世代セキュアアクセスソリューションだという。
アクセス対象のアプリケーションが、社内オンプレミス環境、各ブランチ、クラウド環境などに分散されていたとしても、ソフトウェアであるため、柔軟にセットアップが完了可能、さらに各種設定は、中央のコントローラから集中制御することが可能になる。
SDP(Software Defined Perimeter)とは
VPNの中で企業へのリモートアクセスとして一般的に利用されているSSL-VPNの場合、クライアントとSSL-VPNゲートウェイ間で、はじめにSSL/TLSの通信のトンネルを張った上で、ユーザ認証を行う。つまり、ユーザ認証を行う前に、社内ネットワークにトンネルを張るという仕組みになる。
この仕組みは、セキュリティ面で多くの不安を抱えている。2018年初頭にはVPN製品で発見された脆弱性により、その脆弱性のあるVPN製品を利用している端末がサイバー攻撃者に絞り込まれ、ユーザアカウントが窃取され、社内ネットワークが丸ごと乗っ取られてしまう問題が発生した。
また、VPNの設置場所にも課題がある。VPNが浸透した1990年代、2000年代は、ファイアウォールなどゲートウェイセキュリティを担うハードウェアを外部と内部の通信における境界線(Perimeter)に設置することで、十分用途を果たしていた。
しかし、クラウド環境の普及により、社内のオンプレミスとクラウドのハイブリッド環境、クラウド環境でのシステム開発、スマートデバイスやIoTデバイスなど接続端末の多様化に加え、認証基盤もクラウドサービスを利用する企業が増加する中で、今や境界線は中央集中型でソフトウェア制御が可能かつ動的に設置場所に展開できる必要がある。
クラウドのセキュリティに関する調査研究と提言、教育活動を展開する非営利活動法人であるクラウドセキュリティアライアンス(Cloud Security Alliance:CSA)は、安全にアプリケーションにアクセスする新たな手法として、Software Defined Perimeter(SDP)というフレームワークを構築し、標準化を行った。SDPは、もともとアメリカ国防情報システム局(DISA)の「Black Cloud」の概念に基づいたものだ。
「AppGate SDP」は、CSAが構築したクラウド時代に最適なSDPフレームワークに準拠し、SSL-VPNの現状の課題を解決するという。「AppGate SDP」は、アプリケーションのインフラアクセスを許可する前に、デバイスおよびユーザの認証を行い、認証された後にユーザが予め使用を認められたアプリケーションへの制限付きアクセス権が付与され、アプリケーションへのネットワーク接続が許可されるという仕組みを実現している。
■製品の主な特徴
- オンプレミスとクラウドへのハイブリッドアクセス、パートナアクセス、テレワークアクセス、クラウド上での開発環境へのアクセスなどへの安全なアプリケーションアクセスを実現。
- デバイス認証、多要素認証、SAML認証に対応。
- 認証パスと暗号化されたデータパスは完全に分離。
- Black Cloud(DNSには、未登録、外部から対象のアプリケーションは完全に隠蔽される)の概念を踏襲し、ネットワークベースの攻撃耐性にきわめて強い。
- 全てのコンポーネントは、ソフトウェアで提供されるため、ロケーションやオンプレミス、クラウドを問わず、柔軟にデプロイが可能。
