WANルータはCiscoが得意とするところですが、ルータの機能そのものは非常に高度化している一方で、設定や運用が複雑してしまい、ちょっと扱いたい人にとっても高度な専門スキルが求められること自体を問題視しています。
アプリケーションベース、遅延ベースのマルチホーミングなルーティング、「パフォーマンスベースルーティング」という機能ですが、アプリケーションごとにSLA(サービス水準合意)を設定しておけば、アプリケーションに応じて自動的に最適な経路を選ぶという機能です。ただ、設定が複雑なので残念ながら、あまり積極的に活用されていません。ただでさえ短納期、低コストが求められる中で、ルーティングの設定や設計にかけられる時間は減ってきていますから、手が回らないわけです。
そこで、WANルータの複雑な設定や機能はそのまま維持されますが、上位インターフェースをSDNコントローラに集約することで、極めてシンプルにしようとしています。SDNコントローラから、アプリケーションごとにSLAや遅延、リンク数といったパラメータを入力すれば、あとは自動的にルータのコンフィグレーション、プロビジョニングが行われるという仕組みができています。ネットワーク技術者向けの高度なCLI(Command Line Interface)は残しながら、同時に、シンプルな設定をSDNコントローラで実現しようという取り組みです。
Ciscoでは、このような高度なWAN機能をまとめて「Intelligent WAN(IWAN)」と呼んでいますが、現在、海外の金融サービス関連の顧客を中心に引き合いを頂いており、今まさに多拠点で展開中のお客さまもいらっしゃいます。数千拠点の非常に大規模な金融機関と聞いています。
SIEMとの連携
――LANの見える化でSDNをセキュリティインシデント対応に活用するということが、SIEM(セキュリティ情報イベント管理)のエンジンを組み合わせてリアルタイムにできたら面白いですね。
ネットワンシステムズ ビジネス推進本部 第2応用技術部 クラウドソフトウェアチーム シニアマネージャー 藤田雄介氏
藤田氏 それはまさにネットワンでも取り組んでいるところです。パターンファイル以外の振る舞い検出に特化したようなセキュリティの商材をもとに、そこからデータを吸い上げてためます。そのデータを解析して、問題があるものはブロックしたり、あとはSDNのネットワークを連結させて隔離したりする。これにより内部拡散と外部への通信を遮断するセキュリティ対策になります。
たとえばフローベースでトラフィックを収集して、そのフローの状態によって、(マルウェアに命令を与える)C&Cサーバからのアタックを検出してブロックするなど、そういった全連携の取り組みもしています。
山下氏 現代のセキュリティは、もはやネットワーク的な対処だけではやりにくくなってきています。今はサーバの内部に入って検知や防御を実装せざるを得ません。ネットワークの既知の通信パターンだけではもう検知しきれないという状況で、アプリケーションの明らかに異常な振る舞いを見つける必要があります。
IBMには「QRadar」という製品がありますが、ソフトウェアの世界で動いていく異常検知とネットワーク側の異常検知が連携するとよい結論が得られると思います。IBMはソフトウェア側の統合したテクノロジは持っていますが、ネットワークの製品はないので、SDNを介してアプリケーションとネットワークセキュリティが連携できると統合的なネットワークセキュリティを実現できると思います。
藤田氏 クラウド側で状態を検知し、分析して、その結果、一番根本のところで止めたり、方向を変えたりするのがやはり究極なのではないかと思います。
山下氏 QRadarを利用すると異常な振る舞いはシステムやアプリケーションのログから分析できます。IDSやIPS(不正侵入防御システム)などとはSOC(セキュリティ監視センター)で担当者を介して連携しています。IDSやIPSはある程度まで自動化できるのですが、自動でネットワークを止めてしまうと誤動作もあるので難しい。もう少しネットワークサイドのソフトウェア化が進めば、複雑な判断を伴ったOpsコードがネットワークを自律的に動かすことができるようになるということを期待したいですね。
生田氏 両方が必要なんですよね。セキュリティの製品ラインアップはすごく洗練されて賢くなっていますが、ちょっと導入には敷居が高かったり、それを置いたところにしか効果がなかったりします。LANの見える化の利点は、LANの入り口である無線LANやアクセススイッチのどのポートからどんな怪しいパケットがどれだけ流れているという情報がメタデータで取得でき、いわばLANのビッグデータとして蓄積、活用できることです。
そしてSDNコントローラが、ネットワークの構成、どこのポートにどんな端末がいるかを識別していれば、「こんなセキュリティインシデントが発生しています」というイベントと連携することで自動で止める。デモでは面白いですが、実際にはいきなりは止められないというお客さまも多いです。そこで、たとえばインシデント検出から自動切り離しの間にワンクッション入れられるように、そこに仲介するアプリケーションを作ったらどうかという相談も国内SIerからいただいています。
(第3回に続く)