注目トレンド「マルチクラウドネットワーキング」、うちの会社に関係あるのはなぜ?「マルチクラウドネットワーキング」が、DXを支えられる理由

企業が考えるべきネットワーキングとセキュリティの次のトレンドは「マルチクラウドネットワーキング」だと、IT調査会社はこぞって指摘する。関連して、「WAAP」というキーワードも急浮上している。これらは何を意味するのか。企業がいますぐに検討すべきものなのだろうか。

» 2022年06月07日 10時00分 公開
[PR/@IT]
PR

 マルチクラウドの利用が進む中、WebサービスやAPIを公開する企業が増え、運用が複雑化するとともにセキュリティへの懸念が高まっている。セキュリティや接続性を統合管理し、ガバナンスも強化しなければならない。こうしたニーズに応えるコンセプト/製品ジャンルとされるのが「マルチクラウドネットワーキング」だ。

 また、マルチクラウドネットワーキングの一分野といえる「WAAP」(Web Application and API protection)は、既に注目される存在となっている。

 ADC(アプリケーションデリバリーコントローラー)やセキュリティアプライアンスで知られるF5も、マルチクラウドネットワーキングに属する新しいクラウドネットワーク/セキュリティプラットフォーム「F5 Distributed Cloud Services」(以下、F5 XC Services)を発表した。さらに第1弾のソリューションとして、上述のWAAPの機能を備えた「F5 Distributed Cloud WAAP」の提供を開始している。

 マルチクラウドネットワーキングやWAAPとは何か、F5はこれをどのように製品化しているのか。@IT編集部の三木泉が、F5ネットワークスジャパン(以下、F5)SE本部ソリューションアーキテクトの伊藤悠紀夫氏に聞いた。

F5ネットワークスジャパンの伊藤悠紀夫氏
@IT編集部の三木泉

――ハイブリッド/マルチクラウド化とWebサービス/API公開の広がりが、ネットワークとセキュリティ面での運用を複雑にしつつあります。セキュリティの確保は難しくなる一方ですし、可視性は低下します。それに対応するコンセプトとして、GartnerやIDCをはじめとする調査会社が「マルチクラウドネットワーキング」を提唱しています。

伊藤氏 多くの企業は既存のオンプレミスだけでなく、さまざまなクラウドを利用して、これまでよりも迅速にアプリケーションやサービスを届けたいと考えています。また、店舗や工場などのいわゆるエッジと、社内データセンターやパブリッククラウドとの通信を行うケースも増えています。アプリケーション開発者の観点では、コンテナやAPIなどのクラウドネイティブなツールを利用することで、これまでよりも迅速にアプリケーションを開発できるようになっています。

 一方、アプリケーションを世の中に公開する場合、現在では利用するクラウドごとに、ネットワークやセキュリティなどを設定する必要があります。各クラウドのエキスパートがいればこうした課題もカバーできますが、必ずしもエキスパートがいるわけではありません。アプリケーションの実装が速くなっても、ネットワークやセキュリティの設定に時間がかかってしまうため、リリースまでの時間を短縮できないのです。

 この課題を解決できるのが、マルチクラウドネットワーキングだと考えています。

――マルチクラウドネットワーキングをうたうさまざまな製品が登場しつつありますが、ベンダーはそれぞれに都合の良い定義をしているように思います。F5では、マルチクラウドネットワーキングをどのように定義して、どのような製品を提供しようと考えているのでしょうか。

伊藤氏 「マルチクラウドネットワーキング」という言葉は、元々は3年くらい前にGartnerが定義したものです。このコンセプトを基に、幾つかのベンダーが製品を提供しています。多くの製品は、どちらかといえばこれまでのSD-WANの拡張であり、ネットワークのコンポーネントをソフトウェア化して分散配置することで、複数の場所を簡単に接続できるようになっています。

 F5の提供するマルチクラウドネットワーキング製品のF5 XC Servicesでは、他社が提供しているようなレイヤー3、レイヤー4のネットワーキングに加え、アプリケーションレイヤー、つまりレイヤー7までのセキュリティにも対応しています。具体的にはSD-WANに始まり、DDoS(Distributed Denial of Service Attack)対策、WAF(Webアプリケーションファイアウォール)、APIセキュリティ、bot対策などがあります。これらを一貫した仕組みで、SaaS(Software as a Service)として総合的に提供できることが強みです。

F5 Distributed Cloud Services(F5 XC Services)の特徴(提供:F5ネットワークスジャパン)

 レイヤー4までの機能しか持たない他社の製品でレイヤー7までのセキュリティを実装しようとすると、サードパーティー製品を仮想マシンとして動かし、組み合わせることが必要です。技術的には可能ですが、手間が増えてしまいます。また、複数のセキュリティ機能の間で往復のパケット通信が発生するので、パフォーマンスの低下にもつながります。

 F5 XC Servicesでは、当社のグローバルネットワークを活用し、レイヤー7までのセキュリティ機能をSaaSとして提供します。ユーザー企業は使いたい機能と保護対象を選べばよく、セキュリティ機能自体の運用を考える必要はありません。また、複数のセキュリティ機能間の通信によるパフォーマンスの低下もありません。

――具体的には、どのような機能を、どこに埋め込むのですか。

伊藤氏 F5では自社でグローバルバックボーンを運用しています。そして、このバックボーン上の「PoP」(Point of Presence)と呼ばれる接続点でデータセンターを動かしています。ここでF5 XC Servicesのさまざまなセキュリティ機能をクラウドとして提供します。

 ユーザー企業は適用したいセキュリティ機能を選び、対象とするアプリケーションのあるデータセンター、パブリッククラウドの仮想ネットワークセグメント、エッジなどに接続用のソフトウェアあるいはハードウェアを配置して、F5 XC ServicesのPoPにつなげるだけで済みます。

 例えばパブリッククラウドからアプリケーションやAPIを提供する場合、通常はグローバルIPアドレスを通じてサービスを公開します。この場合、公開されているIPアドレスに対して攻撃を仕掛けることができてしまいます。

 一方、F5 XC Servicesのセキュリティ機能を適用すると、PoPで元のグローバルIPアドレスを隠蔽(いんぺい)しますので、攻撃者は直接アクセスができません。また、このアプリケーションやAPIに対するアクセスは、全てF5 XC Services側でチェックします。正しいアクセスなのか、不正なパケットはないか、botかどうかを判定して、適切な通信だけをパブリッククラウドに届けることができます。

――「マルチクラウドネットワーキング」の説明を聞いて、将来は採用を検討すべき技術なのかなとは思っても、現時点での利用イメージが湧かない読者が多いと思います。いまお話があったような、WebサービスやアプリケーションAPI公開におけるセキュリティの強化というのは分かりやすいですね。この辺りの機能をもう少し詳しく紹介してください。

伊藤氏 WebサービスやアプリケーションAPI公開のニーズに対応するのが「WAAP」と呼ばれるセキュリティ機能群です。F5ではF5 XC Servicesの第1弾として、F5 Distributed Cloud WAAPを提供開始しました。

 WAAPはGartnerが定義したコンセプトで、「DDoS対策」「次世代WAF」「bot対応」「API保護」で構成されます。WAFを導入しているのでWAAPは不要だというお客さまもいます。WAFだけでもAPIの保護はできますが、WAFはアタックシグネチャベースなので、通信そのものが正当であればブロックできません。API自動化ツールを使うと大量のアクセスが発生してしまいますが、そこでの振る舞いをチェックして、悪意のあるbotを検知することが必要です。

 また、外部のAPIを使う場合は従来型のWAFの管轄外になります。そのため外部のAPIについて、どのようなトラフィックが正当なのかを判断できません。そこでF5のWAAPには、APIディスカバリと機械学習によってリクエストごとに異常検知をする機能など、これまでのWAFには搭載されていない機能もサポートしています。

 F5のWAAPの強みは高精度のセキュリティです。例えばWAFでは、F5が提供している「BIG-IP」から「Advanced WAF」がWAAPに組み込まれています。botに関しても、誤検知の少ないShape Securityのエンジンを搭載しています。セキュリティの精度、単一コンソールによるシンプルな設定管理、柔軟な展開がF5 XC Servicesの強みです。

 統合管理という点でも優位性があります。他社のサービスでは、コンソールが分かれていることが多いことに対し、F5 XC Servicesのコンソールは1つの画面で全てを管理できます。WAAPの機能であるWAFや「Bot Defense」「API Endpoints」などをタブの切り替えで確認できます。攻撃のログはJSON形式で出力できるので、ツールを使って分析できます。より高度なBot Defenseの管理機能など、新しい機能も順次追加されています。また、Kubernetesクラスタで、どんなアプリケーションが動いているのかも、同じコンソールで管理できます。

 ネットワーク接続から、高度なセキュリティ設定、アプリケーションやKubernetes環境の管理まで、幅広い管理が1つのコンソールで可能です。

――クラウド側にF5のロードバランサやWAFなどの機能を仮想アプライアンスとして導入して一括管理することと、WAAPは何が違うのでしょうか。

伊藤氏 F5の仮想アプライアンスを各クラウドに配布して統合管理はできます。最大の違いはインフラレベルの管理が不要なことです。例えば、各クラウドに仮想アプライアンスを配布すると、仮想アプライアンスの管理が必要ですが、F5 XC Servicesはマネージドサービスなのでインフラの管理は不要です。

 またトラフィックが増えた場合、仮想アプライアンスはいかにスケールアップするかという可用性の課題が出てきます。F5 XC Servicesはクラウドサービスとして提供され、オートスケールができるので、可用性の考慮も不要です。その他、クラウドは従量課金なので、なるべく経費として支払いたい、資産を持ちたくないという要望もあります。F5 XC Servicesも従量課金で、経費として支払い体系を統一できます。

 弊社のデータセンターの場所を気にするお客さまも多いですね。F5は東京と大阪の2カ所にデータセンターを持っています。お客さまの拠点からF5 XC Servicesまでは、アクティブ・アクティブ構成で冗長化されたIPsecトンネルを張っています。もしプライマリーの東京のデータセンターとの接続が切れても、大阪のデータセンターに自動的にフェールバックしてネットワーク接続を継続できます。

――その他、マルチクラウドネットワーキングという観点で提供する機能にはどのようなものがあるのでしょうか。

伊藤氏 他社のマルチクラウドネットワーキングのベースとなるコンポーネントは、L3接続、SD-WAN、ロードバランサ、ファイアウォール、DNSだと思っています。F5では、ベースのコンポーネントに加えてWAAPを提供しています。今後はCDN(Contents Distribution Network)サービス、ZTNA(ゼロトラストネットワークアクセス)やSWG(セキュアウェブゲートウェイ)なども提供する予定です。

――最後に読者へのメッセージをお願いします。

伊藤氏 昔からF5のメッセージは変わりなく、アプリケーションがビジネスを支えるということです。現在は、アプリケーションがマルチクラウドになり、API/コンテナになり、新しい環境に応じて、必要なセキュリティ、可用性、安定したパフォーマンスの設定が必要です。

 マルチクラウドネットワーキングにしても、WAAPにしても、世の中のネットワークやアプリケーションの環境が変わってきたので、それをよりシンプルに、セキュアにするためのプラットフォームがF5 XC Servicesです。時代が変わり、テクノロジーが変わっても、よりシンプルにアプリケーションを届けるということが、F5の変わらないコアメッセージです。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:F5ネットワークスジャパン合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年6月22日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。