SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2017 イベントレポート(AD)

なぜ「ネットワークインフラ」がセキュリティ対策で重要なのか?

アクセス層1:
ネットワークTAPでトラフィックの漏れをすべて把握する

 ここからは水澤氏が登壇し、複雑化したセキュリティ対策における解決策の考え方、コツについて紹介を行なった。

イクシアコミュニケーションズ株式会社 ネットワークビジビリティ・ソリューション
セールスエンジニア 水澤 景太氏

 水澤氏は、まず「アクセス層」について「『見えないトラフィック』があるとセキュリティ対応が困難になる」と課題を指摘する。たとえば、脅威が検知されない時があるだけでなく、何か問題があった時にアクセスがログに残っておらず、原因が究明できない。そこで解決策としてあげられるのが「ネットワークTAP(タップ)の導入」だ。これによって、これまでとれていなかったトラフィックまでロスなく100%取得できるという。

 従来のようなトラフィック監視システムとしてSPANポートを利用する場合、必ずしもトラフィックを100%コピーできているとは限らない。一定量を超えたり、スイッチのパフォーマンスが追いつかなかったりした場合、ロスが生じることがある。本来モニタリングツールに行くべきトラフィックが漏れている可能性があるという。

 そこで、SPANポートに代えて、イクシアの「ネットワークTAP」を導入することで、上り下り両方向トラフィックを漏れなくコピーすることが可能であり、モニタリングツールが信号にフルアクセスできるようになる。つまり、モニタリングツールは、インライン接続と同じように、物理レイヤーエラーを含むトラフィックをすべて監視できるようになり、いざというときも原因究明のために全ログを解析できるという。  

 なお、物理環境だけでなく仮想マシン間に流れているトラフィックについても「仮想TAP」で漏れなく拾い、モニタリングツールに送り込むということも可能だ。

 水澤氏は「『ネットワークTAP』はシンプルな作りで高い可用性を誇り、特に電源を必要としないFlex TAPでは故障を心配することなく利用いただける。海外はもとより、国内でもキャリアなどを含む重要なサービスでも活用されており、多くの実績を持つ。迅速な対応ができなければ、社会的責任を問われる時代に致命的なことになる。ぜひとも『ネットワークTAP』でネットワークトラフィックを漏れなく取得し、有事の対応に備えてほしい」と語った。

アクセス層2:
フェイルセーフ機能でネットワークアクセスの回復力を確保する

 さらに「アクセス層」における課題としてもう1つ挙げられるのが「インラインツールのダウン、メンテ、交換時でのネットワークダウンタイム」である。通常のインライン接続では、メンテナンスのためにセキュリティ装置を取り外す必要が生じることもあり、その際は、ネットワーク全体に影響が出ることになる。そのため通常は休日や深夜などに対応することになるが、トラブル時にはオンタイムでも取り外さなければならず、システムをダウンさせることになる。

 そこで水澤氏が薦めるのが「外部バイパススイッチの導入」だ。フェイルセーフ機能を持っており、万一インライン上のセキュリティ装置がダウンしても、事業継続性を担保できる。つまり、バイパススイッチを経由してセキュリティ装置へとトラフィックを受け渡すことで、いざ何かがあった際にもシステムを止めることなくセキュリティ装置を外すことが可能になるという。さらに接続しているセキュリティ装置に対してHeartbeatパケットで死活監視を行ない、万一の障害時でもフェイルオープンまたはクローズの処理が可能になる。  

 水澤氏は「独立したバイパススイッチを導入することでダウンタイムを回避したり、障害点を減少させたりするだけでなく、『装置の増設や管理が容易になる』点でも大きなメリットがある」と強調した。

次のページ
ネットワークコントロール層1: 装置に応じたデータを選定して配分し、処理の効率化を促進

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9838 2017/10/19 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング