異例のダブルグランプリを獲得、波に乗るジュニパーネットワークスが描く新たなセキュリティ戦略とはInterop Tokyo 2017

ジュニパーネットワークスは「Interop Tokyo 2017」(2017年6月7〜9日、幕張メッセ)において、グローバルに先行して日本で次世代の高密度ルータを特別発表。その結果、異例とも言える一製品でのダブルグランプリを獲得、会場の話題をさらった。さらに、来日したCEOが基調講演に登壇、「AI、ビッグデータ、自動化でサイバー犯罪とどう戦うか」とし、同社のSDSN(Software-Defined Secure Network)ソリューションを説明した。

» 2017年07月03日 10時00分 公開
[PR/@IT]
PR

 企業活動を支えるために必須のネットワーク。ネットワーク業界をリードするジュニパーネットワークスは、2017年6月7〜9日に幕張メッセで開催された「Interop Tokyo 2017」において、CEOが自らセキュリティのビジョンを語った。最新の高密度ルータなど実機を多数展示し、ShowNetと連携したライブデモを実施。セキュリティを高めるソリューションの能力を見せた。

 米Juniper NetworksのCEOであるラミ・ラヒム氏は「AI、ビッグデータ、自動化でサイバー犯罪とどう戦うか」と題して基調講演に登壇。セキュリティが企業の競争力確保にとってどれほど重要か、そのためには何が必要なのかを示し、同社の戦略を語った。展示会場では基調講演を受けたデモを披露。SDSN(Software-Defined Secure Network)ソリューションを用いて、セキュリティ上の脅威に対抗し、ごく短時間で自動対応する様子を見せた。

 世界に先駆けてInterop Tokyo 2017で発表した高密度エッジルータ「Juniper MX10003」は、同展示会のキャリア/ISPネットワーキング部門でグランプリを受賞したばかりか、Best of ShowNet Awardでもグランプリを受賞。実稼働を重視するShowNet Awardを新製品が受賞することは珍しく、異例の高評価と言ってよいだろう。

企業間競争を制するのはデータ、そのデータを守るのは?

基調講演に登壇した米Juniper NetworksのCEOであるラミ・ラヒム氏 基調講演に登壇した米Juniper NetworksのCEOであるラミ・ラヒム氏

 ラヒム氏は、基調講演の冒頭で米Tesla Motorsの時価総額が米General Motorsよりも高くなったことを取り上げた。その理由の1つがデータの利用に優れていることだと指摘。Tesla Motorsの電気自動車はまさにIoTの先駆けであり、例えば、走行時の車体情報を自動的に取得することで、製品を改良する速度を高めている。

 企業がイノベーションを起こして市場で勝ち残るには、このようにデータリッチであることが重要だ。だが、データが最重要だということを理解しているのは経営者だけではない。同氏はサイバー犯罪によって盗み出された金額が、メキシコ1国のGDPを上回っていることを挙げてみせた。メキシコのGDPは世界第15位と巨大だ。今後は自動運転車や医療機器に対してWannaCryのようなランサムウェアが攻撃を開始する可能性があり、セキュリティの課題は金銭だけでなく、人命にも及んでいくと指摘した。

 次にラヒム氏は、急速に変化するセキュリティ環境の今後を予測した。2年前にはファイアウォールの内側は安全だと考えられていた。ところがBYOD(Bring Your Own Device)の拡大などによって、エンドポイントのセキュリティが課題となり、さらにパブリッククラウド対応へと問題が広がってきた。問題を複雑にしているのは、新しいマルウェアが登場する速度が人手では対応できないほど高まっていることだ。

今後必要となるセキュリティ対策の条件を5つ挙げた 図1 今後必要となるセキュリティ対策の条件を5つ挙げた

 このような状況に対応するには人工知能と自動化が必要不可欠であるとラヒム氏は結論付けた(図1)。Juniper Networksはセキュリティプロバイダーであり、セキュリティの確保においてクローズドでサイロ化された状態から、オープンでシンプルなアーキテクチャへの移行を助けるという。

 2016年に最初のバージョンを投入したSDSNの目的は、まさにこの自動化にあるのだという。SDSNには人工知能や自動化が組み込まれており、未知の脅威の検出と除去が可能だと主張した。

 企業が成功するかどうかを決めるのは、データが全てであり、SDSNのようなセキュアネットワークがこれを守ると結論づけた。

既存のネットワーク資源全体を使ってセキュリティ脅威に立ち向かうSDSN

 そもそもなぜ、SDSNのようなソリューションが必要なのだろうか。IoT機器、例えばネットワークカメラ(IPカメラ)はソフトウェアを出荷後にインストールすることが難しく、可能であったとしても対応するエンドポイントセキュリティソフトウェアが見当たらない。

 BYODでも結論は同じだ。従業員全てがエンドポイントセキュリティソフトウェアをインストールするとは限らない。これが蟻の一穴になりうる。従って、IoTでもBYODでもエンドポイントではなく、ネットワーク全体を面で守る必要がある。SDSNが目指したのはまさにこの面による防御だ。

図2 SDSNはネットワーク上のスイッチとクラウド上の「Sky ATP(Sky Advanced Threat Prevention)」、共通のポリシーを適用させる「Policy Enforcer」からなる 図2 SDSNはネットワーク上のスイッチとクラウド上の「Sky ATP(Sky Advanced Threat Prevention)」、共通のポリシーを適用させる「Policy Enforcer」からなる

 図2にSDSNの仕組みを示す。SDSNはルータやスイッチなどの既存のネットワークリソース全体がセンサーとなってリアルタイムの情報を収集する。単体のセキュリティアプライアンス製品ではない。これが面で守るという意味だ。

 SDSNのもう1つの特徴は、IPアドレスではなく、MACアドレスで端末を管理していることだ。BYODなどの場合、IPアドレスは変化しやすい。だが、MACアドレスであればこうした問題は起こらない。仮想マシンが感染した場合にも対応できる。

SDSNの素早い反応をデモで見せた

 展示会場では図3に示した構成に基づき、脅威に対してSDSNがどのように反応するのかデモで見せた。

図3 Interop Tokyo 2017で見せたSDSNのデモ構成 出展ブースだけではなく会場全体を支えるShowNetに接続してデモを進めた 図3 Interop Tokyo 2017で見せたSDSNのデモ構成 出展ブースだけではなく会場全体を支えるShowNetに接続してデモを進めた

 図3の左下に示したエンドポイント(感染PC)にマルウェアが侵入し、他の機器にアクセスしたとしよう。センサー情報に従ってクラウド上に置いたSky ATPが侵害を検知。脅威レベルを判定する(図4、図5)*1)

*1)SDSNは、各機器から取得した状況を1〜10の10段階の脅威レベルで評価し、顧客が指定した数値を超えたときに機器の通信を制限する(切り離す)。

図4 デモ用端末の脅威レベルが5に高まったところ 図4 デモ用端末の脅威レベルが5に高まったところ
図5 各端末の脅威レベルの時間推移も分かる 図5 各端末の脅威レベルの時間推移も分かる

 対処が必要な脅威だった場合、Sky ATPがPolicy Enforcer(PE)に端末の情報を伝達する。続いてPEが感染した端末を隔離するルール(フィルタ)をネットワーク機器へ自動設定(図6)。こうして危険な端末のみがネットワークから切り離される。

図6 自動生成されたルールの例 図6 自動生成されたルールの例

 ここまでの動作が全て自動であることがSDSNの特徴だ。センサー情報が送られてから、PEがルールを送り出すまでの応答時間は最短で5分程度。Sky ATPでふるまい検知を実行するため、15分程度の時間を要する場合もあるという。

 感染した端末上の脅威を取り除くと、自動的にネットワークへの接続が回復する様子も見せた(図7)。

図7 pingが通らない状態から自動復帰する様子 図7 pingが通らない状態から自動復帰する様子

 2017年6月時点では、PEから送られてくるルールを受け取ることができるのは、ジュニパーネットワークスのスイッチだけだ。2017年7月に予定する時期バージョンではCisco Systemsのスイッチにも対応。その後、順次他メーカーの機器にも対応していくとした。

3つの特徴をバランスさせたエッジルータ

 セキュリティ確保と並ぶ同社の目標はネットワーク性能の問題解決だ。

 ネットワーク性能では、2017年第3四半期(7〜9月)に国内での出荷開始を予定している、世界初展示の高密度エッジルータ「MX10003」が目を引いた(図8)。エッジ環境やメトロイーサネット環境向けの次世代の高密度ルータである。

図8 世界初展示の高密度エッジルータ「MX10003」 Interop Tokyo 2017の「キャリア/ISPネットワーキング部門」でグランプリを受賞したばかりか、Best of ShowNet Awardでもグランプリを受賞した 図8 世界初展示の高密度エッジルータ「MX10003」 Interop Tokyo 2017の「キャリア/ISPネットワーキング部門」でグランプリを受賞したばかりか、Best of ShowNet Awardでもグランプリを受賞した

 MX10003の特徴は小型、省電力、高性能という3つの要求を同時にかなえたこと。

 エッジ環境向けでは小型で省電力という2点が強く求められている。MX10003は、3RUに収まり、1Gbps当たりの消費電力が0.8Wと小さい。

 同時に4.8Tbpsというスループットを実現できる(当初は2.4Tbpsから)。100ギガビットイーサネット(GbE)ポートを12、40GbEを18、10GbEを72備えており、最大336ポートまで対応する。

 専用プログラマブルASIC「Trio」でルーティングを実行しているため、将来はソフトウェアの更新により性能向上を望むことができるという。

異種のクラウドも一元管理

 クラウドの利用が増え続ける中、複数のクラウド基盤を利用しなければならない場合がある。同社が2016年末に買収した米AppFormixの仮想化インフラ統合運用ツールは、このような状況においてクラウド利用を最適化できる業界でも数少ないソリューションだという。Interop Tokyo 2017ではBest of Show Awardのパフォーマンスオプティマイゼーション部門で準グランプリも受賞した。

 物理サーバとネットワーク、仮想マシンを一元管理でき、レスポンスタイムの向上やピーク時の遅延時間の抑制に役立つとした(図9)。

図9 AppFormixの管理画面 端末のCPUやメモリ、ディスクI/O、ネットワークI/Oなどの負荷をリアルタイムに取得できる。Interop Tokyo 2017の「パフォーマンスオプティマイゼーション部門」で準グランプリを受賞した 図10 AppFormixの管理画面 端末のCPUやメモリ、ディスクI/O、ネットワークI/Oなどの負荷をリアルタイムに取得できる。Interop Tokyo 2017の「パフォーマンスオプティマイゼーション部門」で準グランプリを受賞した

 顧客にとってAppFormixのメリットは4つあるという。第一のメリットはマルチベンダー対応であること。Amazon Web Services(AWS)やMicrosoft Azure、VMware vCloudなどで利用できる。第二にPythonで記述したクライアントエージェントをAnsibleで導入できるため、スムーズに使い始めることができる。第三にAppFormix自体が軽量であり、管理対象が数万台に及んだ場合であっても性能が低下せず、データの取りこぼしが生じないことだ。第四にクラウドだけでなく、物理サーバも同時に管理できる。

 AppFormixのアラーム機能は、2種類に分かれている。1つは静的アラーム。例えばCPUの使用%にしきい値を設ける。もう1つは機械学習を用いた動的アラームだ。しばらく運用を続けた後、管理対象のリソース消費傾向を記録、その傾向から外れた場合にアラームを出すというもの。例えば3時と24時にディスクI/Oがピークとなり、90%に達するという挙動を示す管理対象があるとしよう。この管理対象のディスクI/Oが12時に高まったとき、動的アラームを発する。

 セキュリティの課題を解決し、ネットワーク性能をより高めていく――Interop Tokyo 2017では、ハードウェアベンダーの枠にとどまらないジュニパーネットワークスの狙いを見ることができた。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ジュニパーネットワークス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年8月2日

Interop Tokyo 2017特集

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。