山下氏 インターネットに接続されているウェブサイトではSDNを利用したクラウドの実装は多くなっています。このとき一番手間がかかるのが、社内のセキュリティポリシーとのコンプライアンスです。例えば短期間でアプリケーションを試せる環境ができているにもかかわらず、社内の古いセキュリティポリシーに従ってサイトを作らないとインターネットで試験できないのでは台無しです。
SDNのネットワークは仮想的に物理ネットワークから分離できているので、サンドボックスのような運用が可能になります。ネットワークのサンドボックスをちゃんとリリースすることでアプリケーションのトライアルを気軽にやれるようにしていくことで新しいアプリケーションに移行するきっかけをつくりだしていけたらいいですね。
NEC スマートネットワーク事業部 マネージャー 勝浦啓太氏
経営層はIT部門に変わってほしいと思っているのに、「セキュリティが大事だから」という理由で変われない、変わらないことの方が安全だと思ってしまう。そこをどうやったら変えていけるか、変化に対応するトライアル環境が鍵になると思います。
本来の業務に専念できるか
勝浦氏 セキュリティの課題は本当に多いです。拠点が分散しているようなお客様ですと、本社にしかIT部門がいないケースがあります。そのような場合、拠点の端末がセキュリティでやられたということになると、本社のIT部門が駆けつけたり電話で対応したりしています。
このような場合にセキュリティインシデントを発見したときにSDNでその拠点の端末のネットワークだけを遮断するというセキュリティインシデントへの対処の初動を自動化して、被害を最小限にまずは食い止め、端末に侵入したウイルスなどのクリーニングへの対処は後でやるということが可能になります。情報の外部流出、内部拡散の防止についてはマネジメント層の方々も反応してくださりますね。
藤田氏 セキュリティの観点にプラスして、グループ企業の統合という話もあります。そういうときにSDNだとシステムの統合が比較的やりやすいというメリットがあります。
よく、SDNを使うと運用が楽になって、運用管理者は要らないのではないかという話もあります。あるお客さまで、次期クラウドの検討会議があり、多岐に渡る部門の方が出席する予定だったのですが、実際に出席したのは1人だけでした。出席できなかった理由は、ネットワーク構成の変更作業に伴うトラブル対応のためとなり、本当に重要なやるべきことがほかの作業でできない。そういうことが現実的にあるわけです。
また、先ほどアプリケーションとの密な連携という話題がありましたが、SDNはネットワーク担当者がAPIやアプリケーションに触れるひとつのきっかけになると思ってます。そういう意味ではSDNが人材育成にも貢献できるのではないかと考えています。
見える化のメリット
生田氏 最近では、すぐに役立つということで、セキュリティ関連の引き合いが多いです。切り口としても入りやすいし、実際ニーズもあります。実はSDNと絡めると、LANの見える化という効果もあります。私は、10年以上ネットワークの見える化のテクノロジを専門的にやっていますが、特にSDNと親和性が良いと感じています。
見える化は技術が分かる人にはすごく訴求するのですが、経営層の方々にはなかなか訴求しづらいんですね。「見えるからどうなの?」「見えるようにするだけでそんなにお金がかかるの?」と言われてしまいます。2008年頃から2011年頃にかけて、企業のWANルータの見える化が少しブームになり、お客さまも増えましたが、それでも部分的でした。
去年から今年にかけて、見える化のために収集されたネットワーク利用状況のメタデータが、SDNと連携するための解析ソフトウェアがいくつか出てきました。具体的には、LANの見える化情報をもとにマルウェアから攻撃を受けていること、端末のウイルス感染によって勝手に外部ネットワークにトンネルが貼られてデータ流出していることなどを教えてくれます。
つまり、見える化の情報、メタデータを解析して、セキュリティインシデントに結びつけることが可能になります。LANの中の見える化を実現する機能はすでにCiscoのルータやスイッチには搭載されていますから、IOSで機能を有効にして頂くだけで、見える化のメタデータが上がってきます。
あとはそれを専用ソフトで収集、解析して、検出されたインシデントはSDNコントローラに連絡し、緊急度の高いものは自動的に遮断できるわけです。そうすれば、ゲートウェイ型のようにどこかにピンポイントで置くファイアウォールやIDS(不正侵入検知システム)に加えて、LANスイッチの面全体が、いわゆるセキュリティセンサのような動きをしてSDNコントローラに指示を出します。まさにSDNコントローラの脳みそに当たることをしてくれます。
従来の入り口出口対策に加えて、面全体がセキュリティセンサとして活用でき、SDNを活用するキラーアプリケーションにもなり得るということで、このソリューションに対する引き合いがすごく高まってきています。
