セキュリティスタックをエッジに移動すべき理由：一元管理型セキュリティは時代遅れ

エッジで発生したインシデントを中央のセキュリティスタックに送って処理するセキュリティモデルには多くのデメリットとリスクがある。これからはセキュリティスタックをエッジに移動すべきだという。

[Aaron Tan，Computer Weekly]

　一元管理型のセキュリティモデルは、ネットワークエッジを発生元とするサイバー脅威には有効ではなくなっている。

　これはAkamai Technologiesのロバート・ブルモフェ氏（エクゼクティブバイスプレジデント兼CTO：最高技術責任者）の見解だ。一元管理型のセキュリティモデルは、検査と制御のために全てのWebトラフィックを中央に中継する必要があると同氏は指摘する。

関連記事

• クラウドファーストは時代後れ――クラウドへの集約とエッジへの分散
• エッジコンピューティングとは何か、何が変わるのか
• スタバとMicrosoftが構築したエッジコンピューティングシステム
• 「UbuntuやAzure IoT Edgeが動く」コンピュテーショナルストレージ
• MicrosoftがKubernetesとエッジを接続するAkriプロジェクトを発表

　「攻撃を受け、そのトラフィックをセキュリティスタックに中継するとしたら、そのトラフィックを解決するよりも多くの問題が発生する。トラフィックが攻撃を受ける機会と攻撃を受ける面が増え、被害が拡大するからだ」（ブルモフェ氏）

　同氏はトラフィックが発生するエッジにセキュリティスタックを移動するよう求め、セキュリティの将来にとってこれは重要な概念になると指摘する。

　同氏は本誌のインタビューに応えて次のように語った。「セキュリティスタックは脅威、ユーザー、アプリケーションが存在するエッジに置く必要がある」

　ブルモフェ氏は、セキュリティスタックをエッジに分散するためにはそのインフラを管理・抽象化する単一のプラットフォームでセキュリティ機能を提供することが重要だと言う。

　シンガポールを拠点とするCDN（コンテンツ配信ネットワーク）サプライヤーTOFFS Technologiesもセキュリティ機能を複数のエッジに分散するメリットを主張する。

　TOFFSのフィリップ・チュア氏（共同創立者）は、DDoS（分散型サービス拒否）攻撃を軽減する場合、正当なトラフィックの通過を許可し、悪意のあるトラフィックをエッジで削除する必要があると言う。

　これは従来のクリーンパイプサービスとは異なる。クリーンパイプサービスは、BGP（Border Gateway Protocol）ルートのルーティング先を一元管理する場所に変更してトラフィックを処理する。この方法では遅延が生じる。

　サイバー脅威はあらゆるエッジで発生する恐れがある。TOFFSやAkamaiなどのサプライヤーはより多くのPoP（Points of Presence）を含めてグローバルのフットプリントや地域のフットプリントを拡大している。

　エッジのセキュリティは、必然的にIoT（モノのインターネット）のセキュリティについての議論につながる。

　2021年、AkamaiはInverseを買収した。Inverseは、ネットワークのデータを使って検知漏れの可能性があるIoT機器を特定するシステムを構築していた。

　「機器はさまざまなプロトコルやシグネチャを通じて通信するため、どのような機器なのかを知ることができる」（ブルモフェ氏）

　低消費電力のセルラー機器の入手を目的に、AkamaiはAsavieも買収している。Asavieの製品は、セルラーネットワークを通じてセキュリティスタックへのオンデマンドトンネルを作成する。

　「セルラー機器の通信時は特殊なクライアントや高電力の機器を使わずに、全トラフィックをセキュリティスタックにトンネリングできる」（ブルモフェ氏）