超セキュアなリモートアクセスリモートアクセスの手段としてVPNではなく、「SDP（Software Defined Perimeter）」や「ZTNA（Zero Trust Network Access：ゼロトラストネットワークアクセス）」と呼ばれるソリューション利用する企業も増えている。なお、SDPは元々アーキテクチャ名であり、ZTNAも基本的にはSDPのアーキテクチャに基づいたソリューションだが、SDPという名称でソリューション提供しているベンダーも存在する。

SDPはクラウドコンピューティングのセキュリティを高めるため国際的に活動を展開している非営利団体「CSA（Cloud Security Alliance）」が仕様を定めている。

VPNと違う点は、アクセス権を制御できる機能が備わっていることが挙げられる。VPNでは基本的に、ファイアウォールと連携してIPアドレスやドメイン単位でのルール設定しかできないが、例えばAppgate SDPの場合は「JavaScriptによるスクリプティングで、ユーザーの所属やロケーションなどに応じてアクセスできる範囲を定義できる」（Appgate Regional Sales Director 畠山昌録氏）。

また、アーキテクチャの面では「従来のVPNでは、ユーザーを認証するコントローラーと、クライアントにサーバーのアクセス権を付与するゲートウェイが一体化してインターネット上にさらされていることから、誰もがアクセスして脆弱性を突ける仕組みだった。そこを分離しているのがSDPだ」（図表3）と畠山氏は解説する。

図表3　SDP/ZTNAの概要

コントローラーとゲートウェイはソフトウエアであるため汎用サーバーに展開できるほか、各ベンダーが提供するクラウドを経由して利用する形態も多い。クラウドサービスとして提供されることが多いからか、ライセンス面でもVPNと違い、ユーザー数に応じて柔軟に増減できる価格設定をしているベンダーが多い。

また、VPNとの違いは認証を行うタイミングにもある。VPNの場合、認証する前にゲートウェイとの接続を許すことから、攻撃者は脆弱性などの情報収集が可能だったほか、DDoS攻撃により機能を停止させることもできた。

しかし、SDPの場合は事前に端末に共有鍵を配布し、接続前にシングルパケットで正規端末か否かを確認する「SPA（Single Packet Authorization）」の仕組みを利用する。認証されていない端末からのアクセスは全て遮断するため、情報収集やDDoS攻撃を防ぐことが可能だ。「様々なセキュリティの懸念を払しょくできる良いアーキテクチャであると、現場のインフラやセキュリティ担当者にも納得いただいている」とゼットスケーラー エバンジェリスト＆アーキテクト髙岡隆佳氏は話す。