制御:トラフィック制御でセキュリティ装置の負担を減らし最大限に有効活用
そして3つめ、トラフィック制御についてだが、セキュリティにおいてなぜ必要なのか疑問に思う方もいるだろう。この場合の「制御」とは、トラフィックの取得漏れをなくすことと、複数のセキュリティツールに最適な形でトラフィックを転送すること、の2つの意味がある。まずトラフィックの取得漏れについては、トラフィックに潜む脅威の見逃しに直結しかねない。
トラフィックの「取得漏れ」が発生するケースとして、データ監視目的で利用されるSPANポートにおけるトラフィックのコピー漏れがある。その漏れたパケットに脅威が潜んでいる可能性があるというわけだ。そこにネットワークTAPを配置すれば漏れが生じることがない。
もう1つ、トラフィック制御のトピックスとして上るのが、ネットワーク構成の複雑化によるセキュリティ装置の負担増加である。SPANポートが不足したり、設定を行なう際に止める必要が生じたり、障害時には物理的な再配線が必要になることもある。
そこでキーサイトの提案は、SPANポートやネットワークTAPとセキュリティツールの間に、ネットワークパケットブローカーを導入するという方法だ。そうすることでネットワークがわかりやすく整理され、ツールの種類や帯域に対して柔軟に設置できるという。
「ネットワークパケットブローカー」の基本機能として小圷氏は次の4つを紹介した。まず、複数のSPANポートやタップからトラフィックを集約してモニタリングする「アグリゲーション」、一箇所のモニターポイントから取り込んだトラフィックをコピーして、複数のモニタリングツールへトラフィックを分配する「リジェネレーション」、あらかじめ指定した条件に従って振り分ける「フィルタリング」、そしてIP・MAC・ポートを使用したハッシュ関数により負荷分散が可能な「ロードバランシング」だ。これらの機能により、機器の処理負担を軽減し、多重防御や冗長性などが確保できるという。
出所:「Security Online Day 2018」キーサイト・テクノロジー株式会社講演資料より[画像クリックで拡大表示]
なお、近年の動向として小圷氏は「これまでは物理環境がメインの話だったが、近年ではプライベートクラウドを用いた仮想化環境やAWSなどパブリッククラウドの活用などが増えており、そのなかでもトラフィックを制御したいというニーズは高まっている。そこで当該のソリューションもSaaSアプリとして提供しており、問い合わせが増えてきた」と語る。
そして改めて、「ネットワークセキュリティにおいてトラフィック管理は不可欠になってくる。ぜひ検証>防御>制御のサイクルを継続的に回し、リスク軽減を実現することを考えてほしい」と語り、セッションのまとめとした。
