アラスカ航空が構築した「横展開」する脅威へのセキュリティ対策

國谷武史 (編集部) 2019年02月14日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 米国を中心に150以上の空港を結ぶAlaska Airlinesは、クラウドファーストのITインフラ移行に伴い、マイクロセグメンテーション方式によるセキュリティ対策を構築している。同社のIT部門でネットワークおよびコネクティビティソリューションディレクターを務めるBrian Talbert氏は、「従来の境界防衛ベースの手法では難しいシステム間を“横移動”する脅威へ対処する必要があった」と話す。

 同社は約6000台のサーバで航空機の運航業務や航空券の販売・決済、座席予約などのさまざまなシステムを運用している。特に長期休暇を控えた時期は、販売サイトに航空券を買い求める利用者のアクセスが集中するなど、「まるでECサイトのような状況」(Talbert氏)という。大量のクレジットカード決済を正しく処理するだけでなく、膨大な利用者の個人情報やクレジットカード情報などを保護しなければならない。

 Alaska AirlinesのIT部門では、データセンターにあるこれらシステムの仮想化を推進すると同時に、複数のクラウド環境を利用するITインフラの移行、さらにはコンテナやマイクロサービスアーキテクチャによる刷新を進めている。こうした中で課題となったのが、データセンター内部に侵入したサイバー攻撃者がシステム間を探索・移動する「ラテラルムーブメント(水平移動、横移動)」と呼ばれる脅威へのセキュリティ対策だった。

 昨今のサイバー攻撃では、攻撃者がいったんシステムに侵入すると、そのシステムだけではなく、他のシステムにも侵入範囲を広げ、次のステップの攻撃で踏み台となり得る環境あるいは、さらなる利益につながるような機密情報の存在を探し回るケースが多い。この様子を表現したセキュリティ用語がラテラルムーブメントだ。実際にラテラルムーブメントが一因と見られるインシデントが多発し、同社がITインフラの刷新を進める上で大きな懸念事項であったという。

 多くの企業では、インターネットと内部ネットワークの境目にファイアウォールなどのセキュリティ対策を講じる「境界防衛」のアプローチを採用している。Talbert氏は、「この伝統的な手法はいわゆるNorth-Southのトラフィック(境界を北側、システムを南側とするシステム構成の概念)を保護するもので、コンテナやマイクロサービスによるシステム間のEast-West(横方向)には対応しづらいため、新しいアプローチが必要だった」と語る。

 同社がコンテナやマイクロサービスに着目するのは、商戦の前後で激しく変動するシステムリソースを迅速かつ柔軟にスケールアップ/スケールダウンできるようにするためだ。一方で決済情報や個人情報も処理することから、PCI DSS(クレジットカード情報などのセキュリティ標準)などを厳守しなければならない。

 「従来型の対策でNorth-Southの経路としてしまうと遠回りになり、データセンター内部の暗号化通信の検査処理に伴う負荷も大きいため、コンテナやマイクロサービスのメリットが十分に得られなかった」(Talbert氏)

 このためTalbert氏は、コンテナやマイクロサービスに適したセキュリティ対策手法を調査し、マイクロセグメンテーションに注目。複数ベンダーのソリューションを評価・検討した結果、ShieldX Networksを選定し、同社とパートナーシップを締結した。

マルチおよびハイブリッドのクラウド構成におけるEast-Westトラフィックに対応したセキュリティ環境イメージ(出典:ShieldX Networks)
マルチおよびハイブリッドのクラウド構成におけるEast-Westトラフィックに対応したセキュリティ環境イメージ(出典:ShieldX Networks)

 マイクロセグメンテーションは、データセンターの内部環境などにおいて少数の仮想マシンやコンテナなどを小規模なネットワークのセグメントとして管理するアプローチとなる。Talbert氏は、ShieldXのソリューションでは、ソフトウェアがマイクロサービスとしても稼働(物理/仮想サーバにも対応)することや、セグメント間の不正通信の監視・検知、システムリソース拡大への動的な対応、複数セグメントに対する単一ポリシーの適用、自動的なアプリケーション識別によるポリシー設定といった運用性を評価したという。

 「従来の方法でも我々の要件を満たせないわけではないが、柔軟性や導入コストの面からマイクロセグメンテーションが理に適うと判断している。ソフトウェアベースのため処理の遅延も懸念したが、意外にもNorth-Southのトラフィックに比べて遅延が低減される効果もあった」(Talbert氏)

 Alaska AirlinesとShieldXはパートナーという関係だが、ShieldX 共同創業者兼最高経営責任者(CEO)のRatinder Paul Singh Ahuja氏は、「近年はマルチクラウドやコンテナベースのシステムへの移行を検討する企業が増えており、ここ数年の概念実証(PoC)でも有用な結果が数多く示されるようになった」と話す。その意味では、Alaska Airlinesの取り組みは先進事例に当たるようだ。

 近年は、日本でもITインフラの全面的なIaaSへの移行、オンライン企業を中心としたコンテナやサーバレスなどの新しいアーキテクチャの採用が見られつつある。Talbert氏は、「やはりクラウドは(既存のIT環境の代替ではなく)“変革”に値するものだと痛感している。だからこそIT部門は時間をかけてクラウドがどのようなインパクトをもたらすか慎重に見極めないといけない。セキュリティ対策も同様であり、マイクロセグメンテーションがファイアウォールのリプレースではなく、新しい仕組み作りの“変革”だという意識で臨んでほしい」とアドバイスを送る。

Alaska AirlinesのIT部門でネットワークおよびコネクティビティソリューションディレクターを務めるBrian Talbert氏(左)と、ShieldX 共同創業者兼最高経営責任者のRatinder Paul Singh Ahuja氏
Alaska AirlinesのIT部門でネットワークおよびコネクティビティソリューションディレクターを務めるBrian Talbert氏(左)と、ShieldX 共同創業者兼最高経営責任者のRatinder Paul Singh Ahuja氏

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]