トピック
あらゆる人やモノがネットワークでつながる世界では何が求められるのか?
「Exchangeカンファレンス2019」に見る、最新セキュリティ/ネットワークソリューションの動向
- 提供:
- アライドテレシス株式会社
2019年6月17日 06:00
アライドテレシス株式会社は5月28日、セミナーイベント「Exchangeカンファレンス2019」を開催した。
今回のテーマは「世の中をセキュアに。ネットワークから安全を創る。-世界初を再び スマートコネクト無線LANシステム-」。開会のあいさつに立った、アライドテレシス 専務取締役 営業統括本部長の佐藤朝紀氏は、「来年はいよいよ2020年で、サイバーセキュリティ対策が待ったなしになってきた」と語った。
また、閉会のあいさつに立ったアライドテレシス 代表取締役 副社長の長尾利彦氏は、「サイバー攻撃が増加しているが、サイバーセキュリティへの投資は、なかなか首を縦に振ってもらえない。その中で当社は、オートノマス化やインテント化により、運用コストを含めた低コストの削減を提案する」と話している。
アライドテレシスのサイバーセキュリティ演習、脆弱性診断、制御システムの備え
アライドテレシスの取り組みについてのセッションは、セキュリティ、ソリューション(ネットワーク)、サービスの3つのテーマごとに行われた。
セキュリティへの取り組みについては、アライドテレシス 上級執行役員 サイバーセキュリティDevops本部 本部長の中島豊氏が説明した。アライドテレシスでは、セキュリティ関連のサービスを、2019年から「Net.Service」ブランドで展開している。
中島氏は、一般企業のセキュリティ対策と、制御システムのセキュリティ対策の2種類について順に語った。
まずは、一般企業のセキュリティ対策について。中島氏は前提として、組織・個人の対策とIT・システムの対策が両輪になると話す。このうちアライドテレシスが関わるのは、主に、組織・個人の対策では「演習」、IT・システムの対策では「脆弱性チェック」と「多層防御におけるSDN」だ。
演習としては、サイバーセキュリティ演習の「DECIDE Platform」を紹介した。“セキュリティインシデントが起きたときに、企業としての正しい行動が実際に機能するためには、日頃演習している必要がある”という考えによるものだという。
このソリューションでは、セキュリティインシデントが起きたときの“できごと”をコンピュータ内で起こし、対応と復旧を訓練する。「面白いところは、(参加者が)回答すると同時に、ダイナミックに次のシナリオが変わっていくところだ。役割によってもシナリオが変わる」と中島氏。
脆弱性チェックについては、Net.CyberSecurityブランドで提供する脆弱性診断サービスを紹介した。クラウド上のシステムから、どこに脆弱性があるかを診断するもので、「Webサーバー診断サービス」と「LANシステム診断サービス」を提供している。(なお、LANシステム診断サービスは社内システムに診断ボックスを入れて検査を行う)。
中島氏は、実際のWebサーバー診断サービスとLANシステム診断サービスの画面をデモして見せた。前者では、Webフォームなどの脆弱性を診断。LANシステム診断サービスでは、システム区分やネットワーク構成図などとともに、どこに脆弱性があるかがすぐにわかるといった点を参加者にアピールしていた。
続いて、制御システムのセキュリティ対策について中島氏は、オフィス系システムと違う問題点として、PCやスマートフォンではないため、セキュリティアプリケーションがそのまま使えないこと、監視端末などのOSが古いこと、閉域網で構築されているので、そもそもがセキュリティを気にしないという設計になっていることを挙げた。
こうした制御システムのセキュリティ強化としては、ネットワークのホワイトリスト制御によるセキュリティ強化や、他社製品とSDN/アプリケーション連携ソリューション「AMF-SEC」(旧称:SES)を組み合わせた脆弱性端末の見える化が紹介された。
アクセスポイントを“ダムHUBのように”簡単に使えるAWC-SC
アライドテレシスのソリューション(ネットワーク)への取り組みについては、アライドテレシス 上級執行役員 マーケティング統括本部 統括本部長の佐藤誠一郎氏が説明した。
佐藤氏は課題として、IoTなどでデバイス数やネットワーク規模が肥大化していくなかで、ネットワーク技術者が不足していることを挙げた。そこで、「ネットワーク運用コストを削減するだけでなく、運用業務をなくす代行運転が求められる」という。
これに対するアライドテレシスのアプローチが、「ユーザーがインテント(意思)を入力すると、それに従って最適化して運用する」というものだ。
それを担うアライドテレシスのAMF技術は、2013年にスイッチを一元管理する「Allied Telesis Management Framework」として始まり、2016年にはルータやワイヤレスなども統合した自律型ネットワークである「Autonomous Management Framework」に進化した。
2019年からはさらに進化し、「Artificial Intelligence Management Framework」となった。前述のとおり、ユーザーのインテントに従ってネットワークを代行運転するコンセプトだ。
インテントベースには2つのフェーズで取り組む。フェーズ1では、ネットワークをマップ化&グラフ化で見える化する。これにより、例えば、支社からOffice 365のトラフィックが多ければそのトラフィックを本社を通さずに直接インターネットに流したり、重要な映像が遅延するようなら優先度を上げたり、インシデントが発生していればセキュリティ対策をとったり、といった対策がとれるようになる。
フェーズ2では、フェーズ1でも対策の部分に知識と経験が必要だったのに対し、意思決定(インテント)をGUI化する。可視化された状況に対してAMFが対策のひな形をGUIで提案してくる。ユーザーはそれを元に意思を伝えるだけで、あとはAMFがネットワークを最適な状態に維持する。
「目指すところは、保守・運用業務そのものをAMFが代行運転すること」と佐藤氏は語った。
AMFに続いて、無線LAN管理技術「AWC」(Autonomous Wave Control)についても語られた。「AWCはAMFの子供」と佐藤氏は言う。
最初の自律型無線LANであるAWCは、2017年に登場した。無線LANアクセスポイントが自ら周囲の電波情報を収集して、それを基に最適な電波設定をするというものだ。
2018年には、複数のアクセスポイントを仮想的に1台に見せ、クライアントからはローミングが発生しない「ブランケット方式」による「AWC-CB(Channel Blanket)」も登場し、独自のセル方式による「AWC」と「AWC-CB」の2つの方式を1台のアクセスポイントに搭載した、ハイブリッド無線LANシステムを実現させた。
これらの技術によって、従来課題となっていたことのいくつかは解決されているが、さらにこれからの課題として、「有線と比べて手間がかかる」「ダムHUBと比べて手離れが悪い」「ワイヤレスなので見えなくなる」という3つを佐藤氏は挙げた。
これを解決するのが「AWC-SC(Smart Connect)」である。アクセスポイントを追加したときなどに、アクセスポイント同士が無線で通信し、自律的にネットワークを再構成してくれるというもので、追加したアクセスポイントは有線接続が不要となる。
またAWC-CBと組み合わせることにより、チャネルや電波の再設計が不要になるし、設定などもAMFでダウンロードして“プラグ&プレイ”で使えるという。さらに、自動経路生成と自動復旧により、冗長性や堅牢性がもたらされるほか、AWC-CBの機能を生かして“ローミングレス”で使えるとのこと。
「こうした特長により、アクセスポイントを追加するときのサイトサーベイも、配線工事も、スイッチの設定変更も不要になる。工数が約1/10になる」と、佐藤氏はメリットをアピールした。
さらに、3つのアクセスポイントで作られる三角形の中にクライアントがいるかいないかを調べ、それを組み合わせていくことで、専門の装置や知識なしでもクライアントの位置を測定することもできるとした。
なおAWC-SCは、2019年9月リリースを目指して開発が進められている段階だ。
サービス事業「Net.Service」の現在とこれから
アライドテレシスのサービスへの取り組みについては、アライドテレシス サポート&サービス事業本部 カスタマーサービス本部 本部長の荒木雪政氏が説明した。
まず背景として、変わりゆくユーザー環境を荒木氏は挙げている。通信が高速化し、容量の増加によりクラウド利用が進んだ。社内ネットワークは無線LANが増え、IoTデバイスも普及。そして、さまざまなセキュリティソリューションも登場した。
それにより、ユーザーのニーズに変化が起こっているという。これまでのシステム要件では、作業効率やデータ保存が求められ、それが機器増大につながっていた。また、システムの安定化が求められて冗長化が行われ、これら2つの要件から、複雑なシステム、構築や運用の増大、運用工数の増大といった課題が生まれてしまった。
それに対して現在では簡単導入と費用削減が求められるようになった。これには、ゼロタッチコンフィグやクラウド利用で対応する。
さらにこれからの要件としては、簡単運用や工数削減が求められるという。それには、運用自動化機能の利用や運用支援サービスで対応する。「それによって空いた時間や費用で、セキュリティ強化ができる」と荒木氏は語った。
こうした背景の中で、アライドテレシスはサービス事業を「Net.Service」ブランドで展開している。1999年からは製品保守サービス「Net.Cover」、2000年からは導入支援サービス「Net.Pro」、2009年からは運用支援サービス「Net.Monitor」が提供された。
そのほか、業務代行サービス「Net.Assist」や、光回線+ISP+ゲートウェイ機器の「アライド光」、ネットワーク統合管理サービス「Net.AMF」も提供している。
さらに、2018年にNet.CyberSecurityが加わり、Net.Serviceの要素が揃った、と荒木氏はアピールした。
なお、これからのNet.Serviceとしては、まずNet.MonitorでAMF-SEC監視(セキュリティログ監視)やIoT監視(ラック内&周辺の環境監視)、そして施設全体のIoT監視につなげていく。
Net.AMFでは、AMF-SECクラウドやRADIUSクラウドを拡充する。また、アライド光では、クラウドVPNやSD-WAN機能拡張を予定している。さらには、将来、Net.AMFとアライド光をSD-WANサービスとして統合するという。「これにより、LANもWANも簡単に可視化できるようにする」(荒木氏)。
このように、ワンストップでITサービス提供が可能になり、お客さまにピッタリのサポートを提供していく、と荒木氏は語った。
東京大学 江崎浩氏とCCDS 荻野司氏の講演
このほか基調講演として、東京大学 大学院 情報理工学系研究科 教授の江崎浩氏による講演が行われた。また特別講演として、一般社団法人 重要生活機器連携セキュリティ協議会(CCDS) 代表理事の荻野司氏による講演も実施された。
江崎氏がまず話したのは「Cyber First」。いままでは物理的なものがあってそれをデジタルにコピーしていたのが、これからは、すべてデジタルで作って必要なときに「プリントアウト」するのだという。「そのため、ライフタイムでサイバーセキュリティが必要になる」と江崎氏は語った。
次はインターネットでの相互接続によって「つなげることを最優先にすべき」。そのためには、必然的にサイバーセキュリティが必須となる。
3つめは「オンプレの重要性を再認識すべき」。光速の限界や、データ量、ネットワークが切れたときのことを考えると、工場などのフロントエンドが重要になり、そこにもセキュリティ対策が必須になるという。
4つめは「サイバーセキュリティはコストではなく投資」。そのために、新しい経営・財務のKPIが必要になるとする。
最後に、ビル(設備)セキュリティについての文書をまとめたことが紹介された。「サーバーのセキュリティはがんばっているが、空調や電源のセキュリティは考えられていなかった」と江崎氏。そのさまざまな問題点を挙げながら、「ITは一気に変更できるが、ほかのインフラはそれができない」ことをいちばんの課題として語った。
一方で荻野氏は、DEF CONのようなハッキング研究イベントで発見された脆弱性の紹介をまじえて、IoT機器などのデバイスのセキュリティの問題について語った。
DEF CONでは2014年にICS(制御機器)ビレッジが設けられてから、IoT関連の話題が年々拡大しているという。荻野氏は、DEF CON会場でデモされた車やフライトシミュレータ、送電網などのハッキングを例に挙げ、「お使いのIoT機器はほぼ対象となっている」と語った。
その中でもIoTシステム攻撃者の流行として、ファームウェアアップデート機能を狙う方法や、破棄された基板やパーツから情報収集する方法、汎用インターフェイスのハッキング技術を流用する方法などが紹介された。
日本でのIoTセキュリティ事件の始まりは、2004年のHDDレコーダーの踏み台化だったという。また世界で大きな話題となったのは、Black Hat 2015で発表された「Jeepの車両を遠隔から操作する研究」で、140万台のリコールに発展したという。そのほか、最近の動向としては、世界で100万台以上が感染したMiraiボットネットによる大規模なDDoS攻撃がある。
これらに対し、荻野氏が代表理事を務めるCCDSでは、分野別セキュリティガイドラインや、IoTセキュリティ評価・検証ガイドラインなどを出していることなどが紹介された。
そのほか、パートナーセッションとしては、株式会社日立システムズがWi-Fi内線電話システムについて、パロアルトネットワークス株式会社とトレンドマイクロ株式会社が自社製品とアライドテレシスのAMF-SECとの連携ソリューションについて解説。盛りだくさんな内容だが、たくさんの来場者で埋まった会場は、終始熱心に耳をかたむけていた。
