── セキュリティ強化のためにSDNに注目する企業が増えていると聞きました。どのような取り組みが進んでいるのでしょうか。
西澤 セキュリティ機器とSDNを連動させれば、セキュリティインシデントの検知と一次対応をより迅速かつ的確に行うことができます。すでにSDNを導入している企業はもちろん、まだ導入していない企業もセキュリティ強化をSDNのメリットの1つと捉え、導入を検討するようになってきています。
── たしかに、この企画の4回目でも、「リスク管理の強化」がSDNのもたらす価値の1つだと、NECでは強調されていましたね。
岩崎 はい。それぞれの目的や役割、機能を考えると、セキュリティ機器とSDNは非常に親和性が高いと考え、早い段階から連携ソリューションの開発を進めてきました。
西澤 そもそも、そうした考えに至った背景には、今日のサイバー攻撃の巧妙化、悪質化、そして、被害の長期化、深刻化があります。
個人だけでなく、法人を対象にした攻撃でも、その企業がよく閲覧するサイトに不正なプログラムを仕込んでウイルスに感染させる「水飲み場攻撃」や、修正前の脆弱性を利用する「ゼロデイ攻撃」を併用した攻撃が確認されています。また、正規の通信を装った攻撃・内部探索の増加や、無線LANの普及によってワークスタイルが変化した結果、感染端末の所在特定や隔離が遅れ、対処したときには、すでに被害が拡大していたという事例が数多く報告されています。
岩崎 しかも、次々に新しい攻撃手法が生み出されるため、セキュリティ対策は基本的に「後追い」にならざるを得ません。さらに企業側が抱えている課題も後追い対策を助長しています。「人」「技術」「費用」の3つの課題です。
── 具体的には、どのような課題ですか。
岩崎 まず「人」は、セキュリティ人材の不足に由来する体制の不備です。「技術」とは、システム構成があまりにも複雑化しており、どこに、どのような対策を講じればよいのかを把握しづらくなっていることを指します。「費用」については、あらためていうまでもないでしょう。収益には直接つながらないセキュリティに対する投資は、どうしても二の次になりがちで、予算を確保しづらい状況にあります。
── たしかに、セキュリティは「難しすぎる」「コストがかかりすぎる」という声は、私もよく耳にします。企業の側からすると、人を増やし、教育や対策に費用をかけるのは容易ではありません。
西澤 課題を解決するには、システム構成を見直すのが近道です。
多くの企業で、システムは機能や組織単位でサイロ化した個別最適の状態にあります。この状態でセキュリティ対策を行うとなると、システムごとに脆弱性を分析して対策を講じなければならず、非常に効率が悪い上、対策状況の把握も難しいという悪循環を招きます。
システムを標準化して統合、全体最適化を進めれば、機器台数を減らしてコストを削減し、そこから確保した予算で一律にセキュリティ対策を実施することができます。また、運用管理負荷を軽減することでセキュリティ対策に人材を充てることも可能。システム構成がシンプルになった分、リスクや対策状況の把握も容易です。
── その全体最適のためのインフラとして、ネットワークがシンプルになり、管理性を向上できるSDNを利用するわけですね。
西澤 サーバーに加えてネットワークも仮想化すれば、インフラの柔軟性、管理性が飛躍的に高まります。ネットワーク機器の集中管理やケーブル配線のシンプル化により設定変更作業も大幅に効率化でき、全体最適に向けたシステムの移行もスムーズになります。
岩崎 セキュリティ対策のためだけの投資は難しいかもしれません。しかし、SDNならネットワーク仮想化でシステムを効率化し、運用管理負荷を軽減。加えて新サービスの提供を迅速にするといった収益につながるメリットを得られます。これらのメリットとセキュリティ強化を同時に得られるとしたらどうでしょうか。こうした「いい所取り」の企画を立て、社内稟議を通しているお客様が多数いらっしゃいます。
── SDNがセキュリティ強化にも有効なIT環境を提供できることがよくわかりました。ただ、冒頭で西澤さんは「セキュリティインシデントの検知と一次対応を、より迅速かつ的確に実現することができる」と指摘されました。それは、どのように具現化するのでしょうか。
西澤 もともとSDNには、セキュリティ強化につながる機能が備わっています。仮想ネットワークであるVTN(VirtualTenant Network)は、完全に独立した論理ネットワークとなっており、目的別にセキュアなネットワークを構築できます。
さらにNECは、複数のセキュリティベンダーとのパートナーシップを活かし、セキュリティ製品とSDNを連動させた「サイバー攻撃自動防御ソリューション」を開発しました。このソリューションが検知や対応の高度化などの価値をもたらします。
岩崎 セキュリティ製品の役割は、脅威を見つけ、通知したり、駆除したりすることです。一方、SDNは、ネットワークをソフトウエア制御する仕組みです。両者を組み合わせれば、従来型のウイルス対策製品やIDSでは検知できなかった標的型攻撃などを、サンドボックスなどの振る舞い検知で発見。その上でSDNによって自動的かつ瞬時に端末を隔離したり、秘密情報を保持するサーバーを防御したりする、といった対応が可能になります。
西澤 端末を管理するための通信は許可しつつインターネットへの通信だけを遮断する、といった柔軟な初動対応も可能です。つまりお客様のセキュリティポリシーに沿った対応を自動的に実行し、管理者の負荷や属人性の軽減を図れるのです。
岩崎 利用者から端末の動きがおかしい、ウイルス対策ソフトからアラートが出ているという連絡を受け、担当者が端末をケーブルから抜くように指示するという、今までの「人を中心とするプロセス」よりも、迅速かつ定常的な一次対応を行え、被害を最小化できます。
── 特徴的な導入事例があれば、ぜひご紹介ください。
西澤 ある自治体では、マイナンバー制度の本格施行に合わせて、NECとセキュリティ対処自動化に関する実証実験を実施。その後、正式採用が決定され、本格稼働の予定です。
脅威を検知するセンサーとして、ネットワーク層では「Deep Discovery Inspector」、エンドポイント層では「Deep Security」と「ウイルスバスターコーポレートエディション」を採用しています。いずれもトレンドマイクロ社の製品です。シングルベンダーで構成しているのは多層防御の網羅性やインシデントレスポンス部隊の対処のしやすさを考慮したためです。
従来型のウイルス感染のみならず、C&Cサーバーとの通信など、標的型攻撃をセンサーが検知した場合には、連携するSDNコントローラが自動的に端末を隔離するなど、きめ細かな通信制御を実施します。これによりスキルの高い管理者への依存を解消し、心理的な負担も軽減できます。柔軟なポリシー定義が可能なため、イベント検出後に手動で対処を実行することも可能です。
岩崎 ある医療機関でも、すでにソリューションが稼働しています。ここでは、SDNがファイア・アイ社のネットワークセキュリティソリューション「NXシリーズ」と連携しています。NXシリーズがC&Cサーバーとの通信などを検知すると、その通信源となっている端末をネットワークから自動的に遮断します。
すでに何件か脅威を検出し、実被害を未然に防いだという実績もあり、医療機関に求められる高いセキュリティレベルの実現に貢献しています。
製造業での事例もあります。この企業はIoT(Internet of Things)活用を視野に工場ネットワークをSDNへ全面刷新することを決めたのですが、セキュリティ強化にもSDNを活用しています。
具体的には、パロアルトネットワークス社の次世代ファイアウォールによって、インターネットの出入り口を監視し、不正な通信を行っている端末を見つけたら、即座にネットワークから遮断しています。
── すでに数多くの実績があるのですね。ビジネスはもちろん、安全・安心な社会のためにも重要なソリューションになりそうです。
岩崎 ありがとうございます。NEC自身もセキュリティに関しては、多様な製品を取り扱ったり、専任の組織を用意したりと、高い技術力を持っていると自負しています。しかし、たくさんの知見を融合したほうが、よりお客様に合ったセキュリティを実現できます。そうした観点から、パートナーとの連携に積極的に取り組んでいます。
西澤 サイバー攻撃の進化のスピードは、ますます高速化しています。もはや、従来の検知技術だけでは十分な対応は難しく、セキュリティ専門ベンダーの最新の検知技術を結集する必要性を痛感しています。この技術の結集を可能にするのがSDNです。オープンなソフトウエア技術で実現しているSDNを基盤としたからこそ、次々に登場する新たな脅威にも対応可能なソリューションを提供することができたと考えています。
── この企画を通じて様々な話をお聞きしてきましたが、協業による新たなSDNの可能性を知ることができました。今後の展望をお聞かせください。
西澤 先行事例を紹介しながら、システムの全体最適化やセキュリティ強化におけるSDNのメリットをわかりやすく説明し、お客様のICT投資の最適化、安全で効率的なプラットフォームの実現に貢献していきたいと思います。
岩崎 ネットワークをソフトウエアで制御でき、APIを通じて他のシステムと連携できる。このSDNの特長を活かせば、セキュリティ以外にも、様々なソリューションを実現できます。これからも、より豊富なソリューションを開発し、お客様に貢献していきたいと考えています。