イベントレポート

IIJ Technical WEEK 2017

“なしくずしBYOD”時代ではもう限界? L2セグメントに頼るセキュリティ卒業のススメ

SDNによるマイクロセグメンテーションで防御する「FSEG」、IIJが開発

  • 高橋 正和

2017年11月29日 06:05

株式会社インターネットイニシアティブ(IIJ)SDN開発部の白崎博生氏

 株式会社インターネットイニシアティブ(IIJ)における“文化祭”(IIJ広報部課長・技術広報担当の堂前清隆氏)との位置付けで2003年より開催し、毎年恒例となっているITエンジニア向けの技術イベント「IIJ Technical WEEK」。ここでは、11月8日~10日に行われた今年の「IIJ Technical WEEK 2017」の中から、セキュリティに関するセッションが集まった11月8日の模様をレポートする。

L2じゃないセグメントを作ってネットワークを守る

 今年12月で25周年を迎えるIIJ。その中で培われたネットワーク運用の経験と同社エンジニアによる開発力という意味で興味深い内容だったのが、同社SDN(Software Defined Networking)開発部の白崎博生氏による「SDNで実現するネットワークセキュリティ」というセッション。いわば「L2(レイヤー2)のネットワークセグメントに頼らずに、ポリシーベースでセキュリティを守る」という発表だ。

「IIJ Technical WEEK 2017」初日の11月8日の様子

 白崎氏によると、USBメモリやBYOD端末、VPN、野良クラウド(シャドーIT)など、マルウェアなどのさまざまな侵入経路に対応する必要がある現在、企業内とインターネットとの接続点におけるゲートウェイ型のネットワークセキュリティだけでは対応できなくなっているという。それに対する白崎氏の考えは、感染・侵入されることを前提に、それを早期発見して対処するというものだ。要素としては、1)影響範囲を小さくすること、2)早く発見すること、3)早く対処すること――の3つからなる。より具体的なアイデアとしては「マイクロセグメンテーションによって(各ユーザーの)通信範囲を制御する」ことだ。

 「マイクロセグメンテーションといっても、小さくすることが目的なのではなく、通信範囲を制御することが目的」と白崎氏は説明する。

 これまで、影響範囲を制限するにはL2のネットワークセグメントが使われていた。同じネットワークセグメントに属する人は、同じセキュリティセグメントの人という考えだ。しかし、例えば向いの席の人でもサーバーの管理者とユーザーなど、セキュリティポリシーが異なることがあり、より小さい単位でセキュリティポリシーを設定したい。

 また、部署の人員異動時のみならず、今やフリーアドレスのオフィスの拡大、さらには“なしくずしBYOD”などで追加されるデバイスへの対応など、従業員の部署や座席などに基づいた固定されたセグメント単位でセキュリティポリシーを管理するのは困難・不十分になってきている。

 一方、セキュリティポリシーの一種としてL3のパケットフィルターをIPアドレスで管理するという場合もある。しかし、これはIPアドレスごとに設定していくことになり、管理が前任者から後任者へと引き継がれるうちにどの部分が必要な設定なのか分からなくなり、不要にフィルターを開けてしまうことにもなるという危険性が語られた。

L2セグメントとポリシーの範囲が同じとは言えない
IPフィルターによる管理の限界

 そこで白崎氏が「次世代セグメンテーション」として考えたのが、ユーザー基点のポリシーベースセグメンテーションだ。接続する相手を、アカウント認証やMAC認証、ロケーション認証などで認識し、そのユーザーノードのグループを定義する。このグループのポリシーに応じてセキュリティレベルを定義する。

 システムの名前は「FSEG(エフセグ)」。ちなみにこれは日本語の「防ぐ」が由来とのことだ。

ネットワークセグメントから独立したユーザー基点のセグメンテーション

 FSEG内には、ユーザーに近いところやゲートウェイなどさまざまなところに、トレンドマイクロ製セキュリティVNF(仮想化ネットワーク機能)をセンサーとして配置して、連動させる。このセキュリティVNFが、マルウェアに感染したユーザーからの攻撃などを検出すると、そのユーザーの属するグループごと監視を強化したり隔離したりする。

 PCなどの端末の接続先は、OpenFlowスイッチを推奨する。「OpenFlow非対応のハブを使うオプションも用意しているが、その場合はハブ内での感染は防げない」と白崎氏。企業の拠点ごとに、コントローラーとなる「FSEG Controller」とVNFからなる「FSEG Node」を設置し、全社のFSEG Controllerが相互接続してネットワーク全体を制御する。

セキュリティVNFをセンサーにして監視
「FSEG」の構成
「FSEG」での機器配置

 想定ユースケースとしては、オフィスのレイアウト変更などが多く、なしくずしBYODなどが行なわれている大規模オフィスを白崎氏は挙げ、「典型的には学校など」と具体例を語った。また、大規模で端末ごとの対策が難しい、工場のIoTデバイスネットワークも挙げられた。

レゴで作ったコンテナ型データセンターを展示、IIJルーター「SEIL」の歴代モデルもズラリ

 IIJ Technical WEEK 2017では3日間にわたり、さまざまなテーマでセッションが開かれた。また、展示コーナーも設けられ、前述のFSEGやIPネットワークによる4K映像リアルタイム伝送のデモが行われたほか、IIJのルーター製品「SEIL」シリーズの歴代モデルなどが展示された。同社のコンテナ型データセンター「co-IZmo」をレゴで再現した展示にも来場者の人気が集まっていた。

FSEGに関する展示とデモ
IPネットワークによる4K映像リアルタイム伝送のデモ
ルーター「SEIL」シリーズの展示
コンテナ型データセンター「co-IZmo」をレゴで再現

(協力:株式会社インターネットイニシアティブ)