事例紹介
1万人が利用する東京モーターショーのプレスセンターを守れ! SDNを活用した、利便性を損ねないセキュリティ対策
2017年11月21日 06:00
2年に一度の自動車の祭典「東京モーターショー」は、毎回100万人弱の来場者を集める国内有数の展示会だ。報道関係者も世界中から来場し、2日間のプレスデーだけで1万人以上が集まるという。
報道関係者が仕事をする上では、原稿送付や会社との連絡などにインターネット接続は必須だ。特に近年では、動画や高解像度の画像などによるデータの大容量化や、ほぼ全員がスマートフォンを持つという接続数の多さなどもあり、インターネット接続への要望はシビアになっている。
それに加えて、ネットワーク管理者の管理下にあるわけではないPCやスマートフォンが集まるため、ウイルス感染などのセキュリティの問題も心配される。
10月末から11月初頭に開催された第45回東京モーターショーでは、プレスセンターのインターネット接続において、アライドテレシス株式会社のネットワーク機器と、ウォッチガード・テクノロジー・ジャパン株式会社のセキュリティ製品を組み合わせて、セキュアな高速インターネット接続環境を提供していた。
このネットワークとセキュリティ対策について、アライドテレシス株式会社の上野雄大氏と藤田亮氏、ウォッチガード・テクノロジー・ジャパン株式会社の猪股修氏、構築運用を担当した株式会社コムネットシステムの白柳翔大氏の4人に話を聞いた。
無線と有線を用意、無線には常時200~300台が接続
東京モーターショーのプレスセンターは、大きなレセプションホールをまるごと使っており、ちょっとした講演会場の規模の人数が集まっていた。
ネットワーク接続は、ホール全域で無線LANによるインターネット接続を提供するほか、半分のテーブルには、小型スイッチをいわゆる“島ハブ”として35台設置し、有線LANによるインターネット接続を提供する。
具体的な製品として、アライドテレシスの「AT-SH230-10GT」を“島ハブ”として設置し、それをアライドテレシスのエッジスイッチ「AT-x510-28GPX」で集約。その外にウォッチガードのUTMアプライアンス「WatchGuard Firebox M560/M670」を設置してインターネットに接続する、といった形になる。
無線LANは、アクセスポイントにアライドテレシスの「AT-TQ4600」を使い、やはりAT-x510-28GPXで集約した上で、Firebox M560/M670を介してインターネットに接続した。
こうした、プレスセンター全体のネットワーク構成を図にすると、以下のようになる。
利用状況について上野氏は「機器の数は前回の2015年とあまり変わりませんが、トラフィックが増えているのが今年の特徴でした」と語る。白柳氏も「総トラフィックは、前回が前々回から1.5倍になり、今回が前回から1.5倍になっています」と補足した。
無線LANと有線LANは、やはり無線LANの利用が多く、白柳氏によると「有線:無線が、2:5ぐらいの割合でした」とのこと。無線LANには常時200~300の機器が接続され、アクセスポイント1台あたり、60ほどの端末がアクセスしていたという。
一方、1台あたりのトラフィックは有線LANが多かった。「動画など大きなデータを送る人は有線LANを選んでいたようです。特定の端末で大きなトラフィックが発生していたことからもわかります」と上野氏。白柳氏も「有線LANでは9:1でアップロードが多かった。大容量をアップロードする人は有線LANを選んでいます」と説明した。
なお、有線LANでも無線LANでも、各端末からはインターネットへの接続のみが許可され、ほかのデバイスへのアクセスはできないようになっている。また、無線LANは5GHz帯だけSSIDを明らかにし、2.4GHz帯はSSIDをステルスにして、必要な人にだけ教えるようにしていたという。
ハイブリッドソリューションでネットワーク、セキュリティの運用を支援
今回のネットワークの特徴はまず、有線LANと無線LANのネットワークを、アライドテレシスの統合管理フレームワーク「AMF(Allied Telesis Management Framework)」で一括管理したことだ。AMFの管理ツールには、従来版「Visa Manager」のアーキテクチャを一新した最新製品の「Vista Manager EX」を採用した。
従来は1台1台のスイッチにログインして設定する必要があったが、Vista Manager EXにより、一括してすべての機器をコントロールできるようになった。また、モニタリングにおいても一括して見られるようになったため、「運用中の保守はかなり楽になりました」と白柳氏は話す。
藤田氏も、「このようなイベントでは、単に運用するだけでなく、実験としてデータをとるのも目的としています。そのために、Visa Manager EXで接続数などが一目で見られるようになるなど、管理性が良くなった点をアライドテレシスでもメリットとして感じています」と語る。
さらに、アクセスポイントはアライドテレシスの自律型最適化機能「AWC(Autonomous Wave Control)」を活用しつつ、Vista Manager EXで管理した。これにより、管理下のアクセスポイント相互、あるいは管理外アクセスポイントとの干渉を最小にするよう最適化が行われている。
セキュリティ面では、ウォッチガードのFireboxと、アライドテレシスのSDN/アプリケーション連携ソリューション「SES(Secure Enterprise SDN)」を組み合わせたセキュリティ構成が大きな特徴だ。
UTM機器であるFireboxは、ウイルス対策やURLフィルタリング、標的型攻撃対策などさまざまなセキュリティ防御の機能を持つ。そこにSESを組み合わせ、不正な通信をFireboxが検知すると、SESに通知(SNMPトラップ)を送り、該当端末をネットワークから遮断できるような仕組みを導入した。
端末の遮断には、今年5月に発表されたAMFの新機能「AMFアプリケーションプロキシー」が使われた。従来のSESではOpenFlowにより遮断していたが、ANFアプリケーションプロキシーではAMFの機能により配下の通信を遮断する。遮断は端末単位のため、例えばテーブルごとのスイッチの先にさらにハブをつないだとしても、目的の端末だけをブロックできるという。
構成としては、アライドテレシスのAT-x930-28GTXをAMFマスター(AMFを管理する側)として1台用意。ここに、有線LAN・無線LANそれぞれを集約するスイッチや、SDNコントローラーの「SESC-APL」、さらにVista Manager EXを動かすサーバーを接続した(上記構成図を参照)。
仕事の邪魔をしない、しかしセキュリティを高めた環境を提供する
Fireboxで危険を検知した場合の対処はさまざま可能だが、今回の運用では、報道関係者の仕事を邪魔しないことを優先して、本当に危険なものだけをブロックするようにした。
実際に運用した結果としては、Webアクセスを通じたゼロデイマルウェアのダウンロードを2件、Fireboxで検知して、SESで端末をブロックしたという。
「ゼロデイで検知できたのが大きかったですね。(シグネチャマッチングや振る舞い検知といった)アンチウイルスの通常の手法では防げないケースだからです」と、ウォッチガードの猪股氏は説明する。
なお、この件ではFireboxでマルウェアが止められており、会場ネットワーク内には入っていなかったので、すぐにブロックを解除。該当するスイッチから先方を特定して、フロアのスタッフが注意だけ行ったという。
一方で無線LANについては、今回はSESによる端末ブロックは見送った。FireboxとSESによる端末ブロックを大きな会場で実運用するのは初めてなことから、まずは端末を把握しやすい有線LANに限定して導入。今回はモニタリングだけにとどめ、利用台数やトラフィックなどのデータをたたき台として、次回以降、端末ブロックの対象にするかどうかを議論するという方針だ。
ちなみに、有線LANで2件発生したゼロデイマルウェアのような問題は、無線LANでは発生しなかったとのことである。
「連携の効果は大きかった」
今回、アライドテレシスとウォッチガードの機器の連携を実運用して、ウォッチガードの猪股氏は「ゼロデイに対して、アライドテレシスとの連携によって包括的な対策がとれ、非常に効果があることがわかりました」と語る。
同様にアライドテレシスの上野氏も「われわれはセキュリティ製品の取り扱いが多くはないので、もちろん連携の効果を感じました」とのこと。白柳氏も「SIerとして機器選定を行ううえで、アライドテレシスとウォッチガードという、一般によく使われている製品が連携できることはポイントとなります」と語った。
次回に向けての取り組みについては、上野氏は「今回の連携に注力したところなので、いまはまだ何ともいえません。ただ、無線LANのブロックへの対応には挑戦したいと思っています。機器のスペックは耐えられそうですが、無線LANは端末の特定が難しいので、そこをどのように解決するか、ですね」と語った。
一方で猪股氏は、「主催者の日本自動車工業会(JAMA)と、インターネットセキュリティをさらに向上したいと話しているところです」と語る。白柳氏も「SES連携以外の部分で、例えば危険なサイトへのアクセスなどがあったことは確認しています。より高いセキュリティを提供していきたいと考えています」と語っている。
ウォッチガード・テクノロジー・ジャパン