Computer Weekly製品ガイド従来型ネットワークセキュリティからの解放

高度にネットワーク化されたビジネスは、従来型のネットワークセキュリティを圧迫する。本稿では境界を打ち破る企業ネットワークについて解説する。

[Cliff Saran，Computer Weekly]

　ネットワークにはもはや、確固たる境界（ペリメータ）が存在しなくなった。企業はパートナーとの緊密な関係を確立する必要に迫られ、私物の端末を仕事に使う従業員が増え、ソフトウェアがビジネスエコシステムを相互に結び付ける。

　従来型のネットワークセキュリティは確固たる境界とアクセスコントロールに依存するため、この動的なビジネス環境にはふさわしくなくなった。

　ネットワークはペリメータレス化が進み、ネットワークに厳重な障壁を築くことよりも柔軟な接続性が求められている。ネットワーク内部のセキュリティ対策は、何も信頼しないゼロトラストでなければならない。

　ペリメータレスセキュリティについて英Computer Weeklyが取材した専門家は、そうしたアーキテクチャの実現は容易ではないという見解で一致している。だがソフトウェア定義ネットワーク（SDN）とコンテナで確固たる基盤を構築すれば、ペリメータレスセキュリティ戦略を実行できる。

未来はペリメータレスネットワークにあり

　Information Security Forum（ISF）の上級アナリストであるギャレス・ハーケン氏によると、ペリメータレスネットワークとゼロトラストセキュリティは、一部の超巨大組織にとっての未来を表している。Googleの「BeyondCorp」はそうしたネットワークアーキテクチャの好例だ。

動的なネットワーク構成

　ペリメータレスセキュリティは、商取引を加速させる上で不可欠になるとの見方もある。だがTurnkey Consultingのディレクター、サイモン・パーシン氏は「ネットワークの境界喪失は、ダメージを防止する技術と組み合わせなければならない」と強調する。

　ペリメータレスセキュリティにおいて、ネットワークの設計や動作はIT資産が不正なコードなどの脅威にさらされる事態の防止を目的としなければならない。パーシン氏によると、SDNは実行が許可されているプロトコルを認識することによって、ユーザーがそれぞれの役職に求められる正規のタスクの実行を許可する。SDNはネットワークアーキテクチャの内部で、転送プレーンとコントロールプレーンを分離する。

　Airbus CyberSecurityの最高技術責任者パディ・フランシス氏によると、ルーターは実質的に基本的なスイッチと化し、中央のコントローラーが定めるルールに従ってネットワークトラフィックを転送する。

　モニタリングの観点で見ると、パケットごとの統計が各転送要素から中央のコントローラーに送信されることになる。「これで侵入検知システム（IDS）をあらゆる転送要素に応用することが可能になる。結果としてネットワークを横断するデータの流れを全て分析できる」とフランシス氏は言う。

　これにはサーバからサーバへのトラフィックとクライアントからサーバへのトラフィックが含まれ、固定型のネットワークに比べて包括的なモニターが可能になる。

需要への対応

　SDNは動的なネットワークを使ってデータの流れをルーティング命令から切り離し、変化するワークロードの需要に組織が対応できるようにする。

　Ovumの調査ディレクター、マキシン・ホルト氏は「この分離によってセキュリティポリシーをデータの流れに直接適用できるようになる」と解説する。

　Airbus CyberSecurityのフランシス氏は言う。

続きを読むには、［続きを読む］ボタンを押して
会員登録あるいはログインしてください。

関連記事

Intel SGXをコアとしたコンフィデンシャルコンピューティングの実現

クラウド時代の認証方式SDP（Software Defined Perimeter）導入事例

ブロックチェーンはセキュリティの「魔法のつえ」ではない

複雑化するデータリスクに対応する統合リスク管理のアプローチ