// シス担のミカタ
ゼロトラスト・SASE

SDP(Software Defined Perimeter) えすでぃーぴー(そふとうぇあでぃふぁいんどぺりめーたー)

ゼロトラストマイクロセグメンテーションVPNアイデンティティ認証SASEネットワーク境界
SDPについて教えて

簡単に言うとこんな感じ!

SDPは「認証した人だけに、必要なドアだけを見せる」セキュリティの仕組みだよ!従来のVPNが「社内ネットワーク全体への通り道」を作るのに対し、SDPは「あなたに必要なサーバーだけ」しか見えない・つながれないようにするんだ。まるで「存在しないように見える」鍵のかかった部屋みたいなイメージ!

SDP(Software Defined Perimeter)とは

SDP(Software Defined Perimeter) とは、ネットワークの「境界線(Perimeter)」をソフトウェアで動的に定義するセキュリティアーキテクチャです。従来のファイアウォールやVPNが「物理的なオフィスの壁」を守る発想だったのに対し、SDPは「認証に成功したユーザーとデバイスにだけ、必要なリソースへの接続を動的に許可する」という考え方で設計されています。

SDPの最大の特徴は 「ネットワークを見えなくする(Darknet化)」 という発想です。認証前のユーザーには、サーバーやシステムの存在そのものが見えません。アクセス要求を受けて初めて、そのユーザー専用の「一時的な接続経路」が生成されます。これにより、攻撃者がスキャンやプローブ攻撃でシステムを発見すること自体を防ぎます。

クラウド・リモートワーク・BYOD(個人端末の業務利用)が当たり前になった現代では、「社内ネットワークの中にいれば安全」という前提が崩れています。SDPは ゼロトラスト(Zero Trust) の原則──「何も信頼しない、常に検証する」──を実装するための中心的な技術として注目されています。

SDPの仕組みと構成要素

SDPは主に3つのコンポーネントで構成されています。

コンポーネント役割身近な例え
SDPクライアントユーザー端末にインストールされるエージェント「訪問者バッジ申請機」
SDPコントローラー認証・認可の判断を行う司令塔「受付の警備員」
SDPゲートウェイ許可された接続だけを中継する関門「鍵がないと開かない扉」

接続の流れ(SPA:Single Packet Authorization)

SDPでは SPA(Single Packet Authorization) という仕組みを使い、認証された「最初の1パケット」だけでアクセス権を確認します。

[ユーザー端末]
    |
    | ①認証要求(デバイス情報・ユーザーID・証明書)

[SDPコントローラー]
    |
    | ②認証OK → 接続先ゲートウェイを通知

[SDPゲートウェイ]
    |
    | ③許可されたリソースへのトンネルだけ開通

[業務サーバー・アプリ]

VPNとの違いを一言で

  • VPN:「社内ネットワーク全体への太い廊下」を通す
  • SDP:「あなたに必要なドアだけを、そのときだけ開ける」

覚え方:「SDPは幽霊屋敷」

認証していない人には建物(サーバー)の存在すら見えない。認証した人だけが「あ、ここに扉があったんだ」と気づく——そんなイメージで覚えてみて!

歴史と背景

  • 2007年 — 米国国防高等研究計画局(DARPA)が「Black Cloud」プロジェクトでSDPの原型となる概念を研究開始
  • 2013年CSA(Cloud Security Alliance) がSDPの概念を体系化し、仕様書を公開
  • 2014年 — Googleが社内ゼロトラスト実装「BeyondCorp」を発表。SDPの考え方が広く認知される
  • 2017年 — CSAがSDP仕様 ver.1.0を正式公開。商用製品が相次いで登場
  • 2020年 — 新型コロナウイルスによる急速なリモートワーク化でVPNの限界が露呈し、SDPへの移行が加速
  • 2021年以降SASE(Secure Access Service Edge) フレームワークの主要コンポーネントとして位置づけられ、クラウドネイティブなSDP製品が主流に

SDPとVPN・ZTNA の比較

ZTNA(Zero Trust Network Access) はSDPと非常に近い概念で、「SDPを実装するアプローチの一形態」と捉えるとわかりやすいです。

VPN / ZTNA / SDP の比較 従来型 VPN 🌐 接続単位 ネットワーク全体 🔑 認証 接続時のみ 👁 可視性 内部全体が見える ⚡ スケール 集中型・遅延大 ☁ クラウド対応 苦手 ZTNA 🌐 接続単位 アプリ単位 🔑 認証 継続的に検証 👁 可視性 必要分のみ ⚡ スケール クラウド分散型 ☁ クラウド対応 得意 SDP 🌐 接続単位 サービス単位 🔑 認証 接続前+継続検証 👁 可視性 存在自体を隠蔽 ⚡ スケール 動的・柔軟 ☁ クラウド対応 非常に得意 ※ ZTNAはSDPの実装形態の一つとして捉えられることもある

実務での使われ方

シーン従来SDP導入後
リモートワークVPN接続で社内全体が見える必要なシステムだけに接続
社外ベンダーのアクセス専用VPNアカウントを発行一時的・スコープ限定の接続を付与
クラウド上のシステム社内経由でアクセス(遅い)クラウド→クラウドで直接・安全に接続
不正アクセス対策侵入後に横展開されるリスクそもそも他システムが「見えない」

関連する規格・RFC

規格・RFC番号内容
CSA SDP仕様 v1.0(2017)Cloud Security Allianceが定めたSDPのリファレンスアーキテクチャ
NIST SP 800-207ゼロトラストアーキテクチャのガイドライン(SDPの位置づけを定義)
RFC 7591OAuth 2.0 Dynamic Client Registration(SDP認証基盤に関連)
RFC 8555ACME(自動証明書管理)。SDP内の証明書管理で活用

関連用語

  • ゼロトラスト — 「何も信頼しない」を原則とするセキュリティ思想。SDPはその実装手段
  • ZTNA — Zero Trust Network Access。SDPと近い概念で、アプリ単位のアクセス制御を行う
  • SASE — ネットワークとセキュリティをクラウドで統合するフレームワーク。SDPはその主要要素
  • VPN — 仮想プライベートネットワーク。SDPと比較されることが多い従来型の接続技術
  • [マ