SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2017 イベントレポート(AD)

なぜ「ネットワークインフラ」がセキュリティ対策で重要なのか?

ネットワークコントロール層1:
装置に応じたデータを選定して配分し、処理の効率化を促進

 次に「ネットワークコントロール層」の課題と施策について紹介がなされた。ここでも同様にセキュリティ機器の増加に従って、パフォーマンス、拡張性、運用性について様々な課題に直面しているという。複雑化によるトラフィックの重複で不必要な分まで処理することになり、機器の処理能力が低下するだけでなく、装置の増設も柔軟にできないという問題がある。

 そこで「ネットワークパケットブローカー」を導入することで、セキュリティ装置に必要なデータをフィルタリングして配分し、装置の性能を最大限に引き出していく。

 具体的には、パッシブ構成の場合、前述したような「ネットワークTAP」で抜き出したトラフィックを「ネットワークパケットブローカー」に送り、そこから各セキュリティ機器に適したデータをフィルタリングして送付するという仕組みになる。また、個人情報データなどをマスキングして受け渡す機能などを持っており、分析機能を持つ装置に合う形式にしてデータを受け渡す「NetFlow」にも対応している。

 さらにもう1つの課題であった、処理能力に応じた装置の増設や運用に関しても、容易に解決可能だという。インライン接続の場合、バイパススイッチとネットワークパケットブローカーで適切な配置が可能になり、構成がシンプルになることで、必要な機器を必要な分だけ導入することができ、運用の手間もコストも削減できる。他にも、コマンドラインによる入力ではなく、ドラック&ドロップのような直感的な操作が可能な専用UIが用意されており、運用負荷を削減できる。

 なお、イクシアではパブリッククラウドにおけるトラフィック可視化の取り組みも行なわれており、日本でもAWS版が本年中に提供開始の予定だという。仕組みとしては、可視化したいソースとなるパブリケーションをDockerコンテナに配置することで、同じくDockerコンテナ上のモニタリングツールに対してトラフィックを安全・確実に流すことができる。従量課金制のため、要望・要件に応じて必要なだけトラフィックを抽出できるのも魅力の一つだろう。

ネットワークコントロール層2:
SSL暗号化通信を悪用した脅威への対策も不可欠

 なおイクシアの「ネットワークパケットブローカー」は、新たにActive SSL機能をリリースし、SSLトラフィックの復号化にも対応している。

 冒頭に紹介したように、既にSSLを使用した通信は7割、まもなく8割を超えようとしている。しかし、暗号化トラフィックの中身を見ることができないと脅威を見逃すことがあり、かといって装置側のSSL復号化機能を用いると、パフォーマンス低下の可能性が否めない。また、SSL復号化専用ツールでは、フィルタリングやロードバランス機能が使えないことも多い。「ネットワークパケットブローカーは、その辺りを考慮し、補完できるツールとして開発されている」と水澤氏は強調する。

 ネットワークパケットブローカーの「Active SSL機能」により、SSL暗号化通信の復号化を一括処理し、各装置に適切に分配することで、セキュリティ装置のパフォーマンスを落とすことなく、暗号化されたデータについてもセキュリティ分析を担保できるというわけだ。具体的には、インターネットにつながる部分を「外部バイパススイッチ」を介して「ネットワークパケットブローカー」のActive SSL機能で復号化し、適切な形でフィルタリングしてセキュリティ装置に受け渡し、処理されたものを再び受け取って暗号化して返すという流れになる。

 「ここでも各セキュリティ装置に適切な形でトラフィックをフィルタリングして受け渡せるので、暗号化データのセキュリティ処理にありがちなパフォーマンス低下を排除することができる」と水澤氏はその効果の高さを語る。

出所:イクシアコミュニケーションズ株式会社 小圷 義之氏、水澤 景太氏
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]

 最後に、小圷氏により、北米の金融機関におけるイクシアのバイパススイッチとネットワークパケットブローカーの導入事例が紹介された。その事例では、メンテナンスや交換などの際も休日や深夜ではなく柔軟に行なえるようになったことで、有意義な業務時間を増やすことができたことが最も高く評価されたという。さらに複数のセキュリティ機器に対するフィルタリング、ロードバランシングにより、複雑なネットワーク構成を簡素化し、装置のパフォーマンスを向上することができた。

 小圷氏は「複雑化したネットワークセキュリティ構成をイクシアのソリューションでシンプルに整理することは大きな価値を生み出す」と語り、そのための方策として「ネットワークTAPで100%のトラフィックを可視化し、セキュリティの盲点を解消すること」「外部バイパススイッチでダウンタイムを短縮し回復力を確保すること」「ネットワークパケットブローカーで、必要なデータを取捨選択してセキュリティ装置に分配し、性能を最大限に引き出すこと」の3点を改めて強調し、講演の締めくくりとした。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2017 イベントレポート連載記事一覧

もっと読む

この記事の著者

伊藤真美(イトウ マミ)

フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/9838 2017/10/19 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング