あらゆる企業や社会に拡散していくIoTのセキュリティ対策をいかに実現するか

　さまざまなモノをインターネットでつないで連携させる、いわゆるIoTが多彩なビジネスの世界に浸透し、本格的な活用が始まろうとしている。しかし、そこで忘れてはならないのが、セキュリティ対策の重要性だ。この課題に向けてアライドテレシスが打ち出したのが、データセンター（NorthSIDE）で培われたSDN（Software-Defined Network）の技術をエンタープライズ（SouthSIDE）に適応させる、「AMF（Allied Telesis Management Framework）」ならびに「SES（Secure Enterprise SDN）」という2つのテクノロジーである。

　IoT時代のあるべき姿を見据え、今後の企業にはどのような取り組みが求められているのか――。4月21日に東京で開催された「SouthSIDE SDN Exchange 2016」上期カンファレンスの概要をレポートする。

NorthSIDEとSouthSIDEの連携時代が到来

　NorthSIDE（データセンター）で培われたSDN（Software-Defined Networking）技術をSouthSIDE（エンタープライズ）に適応させ、そこに生まれる技術連携をパートナーとともにエコシステム化し、新しい市場を創っていく――。アライドテレシスの新たな事業を示す専務取締役 川北潤氏の意思表明によって、「SouthSIDE SDN Exchange 2016」上期カンファレンスが開幕した。

　近年のネットワーク市場は、クラウド化（NorthSIDE移行）とモバイル化（無線化）を中心に動いており、SouthSIDEは縮小が続いていた。その市場を主戦場とするアライドテレシスにとっては、必ずしも順風とは言えなかったわけだ。

　そうした中に登場したのが「FOG Computing」と呼ばれる垂直型の分散技術であり、「これからは、North-South連携時代を迎える」と川北氏は語る。歴史は繰り返すと言うべきか、この動きは1980年代に始まったメインフレームからクライアント/サーバーへの変遷を彷彿とさせる。IoTの普及によってSouthSIDE市場もふたたび拡大期を迎え、そこから新たな技術やビジネスが、次々に生まれることが期待されているのだ。

　基調講演に登壇した東京大学大学院 情報理工学系研究科 教授の江崎浩氏も、「データセンターだけでシステムを完結することはできない。On-the-Premise SDNとBack-hole SDNを連携・協調させることが、これからの方向性だ」と示唆する。なかでも注視すべきがセキュリティインシデントへの対応で、「OpenFlowを含めたSDN、あるいはNFV（Network Functions Virtualization）といった仮想化の技術が、セキュリティにとって非常に重要なファンクションになる」と語る。

　現在のコンピュータはボタンサイズに高度な処理能力を搭載しており、AI（人工知能）や機械学習といった技術を活用し、データセンターとの接続が切れた状態でも自律的に稼働するエッジヘビーなインテリジェンスを持たせることが可能となった。これにより実現するのがIoTの世界である。そこに「低遅延」「プライバシー＆セキュリティの保護」「回復力」を中心とした"Beyond Industry 4.0"の新たな要求が起こっているのだ。「バックオフィス（NorthSIDE）の技術をフロントエンド（SouthSIDE）に持っていくことで、これらの要求に高信頼で応えていかなければならない」と江崎氏は説く。

　ただ、NorthSIDEのSDN技術を単純にそのままSouthSIDEに転用するだけでは、マシンルーム内でしか使えないものになってしまう。この課題に対してアライドテレシスは、どんな解決策を持っているのだろうか。川北氏は「AMF（Allied Telesis Management Framework）とSES（Secure Enterprise SDN）の「2つのSDN」により、オフィスからIoTまで、SouthSIDEのすべてをファブリックしていく」というアプローチを示す。

　具体的には、AMFで安定したデータプレーンを構築することでトポロジーを解決。さらにSESが、そのデータプレーン上でOpenFlowとアプリケーションプラットフォームを連携させた通信制御を実現するという。例えば、人事異動時の端末のVLAN変更、ポリシー違反やウイルス感染が起こった際の端末隔離といったセキュリティ対策も、SouthSIDEで容易に実行することが可能となる。

大規模ネットワークの一元管理と自律化を実現するAMF

　アライドテレシスの盛永亮氏によると、AMFとは「エンタープライズネットワークの保守・運用にかかるコストや時間を削減し、効率化する仕組み」である。ネットワーク内に存在する主要な機器のすべてを仮想的な1台のシャーシスイッチとしてユニファイド化し、運用管理の一元化、簡素化、自律化を実現するのだ。

　スイッチのみならずワイヤレスアクセスポイントやルータなどの機器もAMFによるユニファイド化の対象であり、超大規模ネットワークを見据えた拡張性と汎用性を同時に実現する。加えて非AMF対応のIoTデバイスに対する自動構築・自動復旧機構、ネットワークインフラの暗号化、ウイルス対策ソフトに対応しないデバイスの保護といったソリューションも、この拡張されたAMFのアーキテクチャから提供している。

　実際にこのAMFを導入することで大きな成果を上げたのが、東京都の災害拠点病院として指定されている立正佼成会附属佼成病院だ。同院にはネットワーク技術者がおらず、障害発生時にタイムリーな対応ができないという課題を抱えていた。また、ネットワークに十分なコストを割くこともできず、これがダウンタイムをさらに長時間化させる要因となっていた。これらの課題をAMFによって解決したのである。

　同院 情報システム課の田中諭氏は、「AMFを導入したことで、障害発生元を『AlliedView』に基づいて数十秒で検知し、機器交換を含めた復旧作業を20〜30分程度で完了することが可能となった。また、基幹スイッチからフロアスイッチまで二重化し、予備機との交換によるダウンタイムの短縮を図ることができた」と語る。

　この実績をもとに佼成病院では、外来・入院患者向けインターネット無線LANの開放、拡張モジュール更新による快適なネットワーク環境の維持などを進めていく計画だ。一方で、サンドボックス導入とSDNによるマルウェア対策、SESによる統制など、AMFならではの統合ネットワークを活かしたセキュリティを強化していくという。

SESをベースとしたアプリケーション連携が拡大

　もう1つのSDNのテクノロジーであるSESを解説したのは、アライドテレシスの中島豊氏だ。「さまざまな企業アプリケーションとの連携を可能とし、エンドポイントセキュリティの強靭性を高めるソリューションとして、SESは『プロビジョング』『不正操作PC制御』『脆弱性端末制御』『マルウェア対策』といった基本機能を提供する」と語る。

　今後に向けて、このSDNコントローラを用いた検疫ネットワークとクラウドセキュリティを連動させた、新たなビジネスモデルを確立していくことがアライドテレシスの構想だ。すでにトレンドマイクロ、エムオーテックス、ラクラス、クオリティソフトなどのソフトウェアベンダーとのアライアンスに基づいたSESとアプリケーションの連携も実現。「2016年度後半もさらなる製品やベンダーの追加を予定している」と、中島氏はそのエコシステムを拡大していく意欲を示す。

　実際にどんなアプリケーション連携が実現しているのだろうか。トレンドマイクロの津金英行氏は、標的型攻撃やランサムウェアをはじめとする最近のセキュリティ脅威について、「自主的に発見することが難しい」「攻撃・被害が長期化する」「被害規模・影響範囲が拡大する」といった傾向を示しつつ、「その対策のためには、被害範囲の早期特定と迅速な初動対応が重要」と語る。

　この課題解決において効果を発揮するのが、リアルタイムかつ高精度で脅威を検出するトレンドマイクロのセキュリティ対策ソフトウェアと、ノード単位できめ細かな動的ネットワーク制御を行うSESの連携なのだ。これにより、問題の局所化と拡散防止を図り、セキュリティリスクを最小化することができる。

　「そうした中で重要なカギを握るのが、各企業の運用ポリシーを反映したセキュリティ対策の導入である」と津金氏。Trend Micro Policy Managerは、トレンドマイクロの複数のセキュリティ対策製品が検知したイベントをトリガーとし、SESと連携することで、企業の運用ポリシーに紐づいた動的なネットワーク制御を速やかに実行するという。

　一方、国内導入実績1万社を誇るIT資産管理・情報漏えい対策ツールのLanScope CatとSESを連携させ、端末操作をキーとしたネットワーク制御ソリューションの提供を開始したのがエムオーテックスである。

　後を絶たない情報漏えい事件に着目すると、その多くがエンドポイントでの違反操作を契機としているのが現実だ。エムオーテックスの池田淳氏は、「こうした組織内部の不正行為を抑止するための第一の対策は、操作の証拠が残る環境を構築することにある。次いで効果が高いのは、明確な罰則を設けること。違反操作の重大性を"自分ごと化"して認識させるためには、罰則がきちんと実行されていることも重要な要件となる」と語る。

　LanScope CatとSESの連携ソリューションは、まずLanScope Cat未導入のPCを業務ネットワークから遮断することで、すべてのPCを管理化に置く。次に不正行為に対する教育効果を持たせるため、業務時間外の操作、業務外Webの閲覧、許可されていないUSBメモリの利用など、違反操作を行った対象端末のネットワークを一時遮断する。強制力と教育が伴わなければセキュリティルール違反は継続的に発生するだけに、業務のあるべき姿と運用実態の差をできる限り小さくする対策が重要なのだ。

トレンドマイクロDDIとSESの連携システムで組織全体のセキュリティ統制を実現

　アライドテレシスの2つのSDNを核としたSIer連携も拡大している。

　NECネッツエスアイも、「ITサービス×SDN」を今後のビジネスの柱に掲げるSIerだ。自社のテレワーク（在宅勤務）実現のために積極的にSDNを活用。また、IoT時代を見据えた法人向けMVNOサービス「ネッツワイヤレス」においても、デバイスからセンター設備まで完全閉域網による通信環境を実現する手段としてもSDNを活用している。

　同社の林孝樹氏は、「コストと信頼性・安定性だけで語られてきた"土管"としてのネットワークから脱却し、ICTをさらに活かすためのSDN活用を今後さらに加速させ、お客様の"次のネットワーク"を提案していく」と語る。

　また、ITプラットフォームの導入・保守・運用サービスからセキュリティサービス、スマートエネルギー、オフィス商品まで幅広いビジネスを展開しているNECフィールディングは、全国をカバーする約390か所の拠点網の強みを活かし、IoTの分野にも積極的に乗り出していく構えだ。だが、さまざまなモノがインターネットにつながったことで、ネットワークカメラの映像や複合機に保存された文書を第三者に閲覧されるなど、情報漏えいが多発していることも事実だ。

　そこでNECフィールディングはアライドテレシスとの協業を計画。SDNと資産管理ソフトウェア、セキュリティ対策ソフトウェアを連携させたネットワーク環境により、ウイルス感染した端末を隔離するほか復旧にあたる。同社の泓宏優氏は、「自動化やリモート対応に加え、オンサイト対応を含めたトータルなサービスで、サイバー攻撃の脅威からお客様のシステムを守っていく」と強調する。

　そして、今回のカンファレンスを締めくくる特別講演に登壇した福井大学医学部附属病院 医療情報部 副部長/准教授の山下芳範氏は、同附属病院における導入事例を通じて、トレンドマイクロのDDI（Deep Discovery Inspector）とアライドテレシスのSESを組み合わせた連携システムの導入効果を紹介した。

　同附属病院では仮想化（VLAN化）をベースとした統合ネットワークを構築・運用しているのだが、そこでは医療情報システムのみならず医療機器など別システムとの連携もあり、統制しきれない機器もネットワーク内に多数存在している。

　「やはりエンドポイント監視だけでは不十分で、ネットワーク監視が必要と考えた」と山下氏は語る。そうした中で行き着いたのが、SDN（OpenFlow）を活用し、セキュリティ対策ポリシーや共通ルールに基づいた通信の制御・遮断・隔離である。これにより、セキュリティ対策が不可能な医療機器も含めた、組織全体の統制と管理が可能となる。

　「院内におけるセキュリティのリスクを考えると、仮想化によっても100％固められわけではない。だからこそ"何か"が起こる可能性を常に念頭におき、その際の対応を考えておく必要がある」と山下氏。たとえば、いかにしてウイルス感染や不正侵入を検知する網を張るのか、万一の事態に備えてどのようなブロック手段を確保するのか――。そのためにもSDNをはじめとする新しいネットワーク技術を活用し、シンプルかつ容易な運用やセキュリティ管理を実現しておくことが必須要件となる。