企業ネットワーク最前線

ネットワークをセキュアに、かつシンプルに

IoT時代がはらむセキュリティの課題を解決する「HIPスイッチ」とは?

文◎高橋睦美(ライター) 提供◎株式会社テリロジー 2017.05.08

  • bookmark
  • Teitter
  • 印刷

IoTの本格的な普及・活用に当たって欠かせないのがセキュリティ対策だ。テリロジーが代理店契約を結んだ米Tempered Networksでは、「HIP」という新しいプロトコルを活用したオーバーレイネットワークというアプローチによって、この課題を解決しようとしている。

 
これまでインターネットにつながっていなかったさまざまな機器がワイヤレス接続などを介してつながり、互いに情報を交換したり、クラウドにデータを蓄積し、そこから得られた解析結果を活用して最適化していく……Internet of Things(IoT)とワイヤレス接続の活用によって、こうした新しい価値が生まれようとしている。

ただ、そこで避けられない課題が「セキュリティ」だ。もともとつながることを想定せずに設計された機器がインターネットに接続されると、マルウェア感染や情報漏えいといったさまざまなリスクが生まれる恐れがある。2016年にはその懸念が、IoT機器に感染する「Mirai」ボットネットという形で現実のものになった。2016年10月、Miraiボットネットが過去最大規模のDDoS攻撃を実行した結果、TwitterやNetflixといったインターネット上の幾つかの主要なサービスが停止する自体に陥ったことは記憶に新しい。

こうした課題を踏まえ、機器メーカーやセキュリティ企業がいくつかの対策を提案している。IoTデバイス上で特定のアプリケーションしか動作させないようにするホワイトリスト型のセキュリティソフトや、ネットワーク分離を支援するファイアウォールなどがその例だが、いずれも後付けであり、根本的な対策とは言い難い。しかもIoTには、PCなどのITシステムとは異なり、アップデートや停止が困難といった条件がある。
 
こうした現状を解決すべく新しい形のネットワークを提案しているのが、米Tempered Networks(テンパードネットワークス)だ。販売代理店となったテリロジーとともにソリューションを展開する同社に、特徴を尋ねた。
Tempered Networks
米Tempered Networks セキュリティアーキテクチャ&サービス担当バイスプレジデントのマーク・カプラン氏(左)と日本・アジアパシフィック担当バイスプレジデント、リチャード・ティング氏(右)

初めからセキュリティを考慮せずに設計されたTCP/IPが抱える課題インターネットは「つながる」ことを目指して構築された世界だ。インターネットを支える根本技術「TCP/IP」も、互いにつながり合うことを目指して設計されてきた。だからこそこれだけ多くの価値やイノベーションが生まれたのだが、残念ながら攻撃者にとっても利用しやすく、魅力的な世界になってしまっている。

米Tempered Networks 日本・アジアパシフィック担当バイスプレジデント リチャード・ティング氏は「TCP/IPは誰でも簡単につながることを念頭において作られたプロトコルであり、初めからセキュリティを織り込んで設計されたわけではない。例えばIPアドレスは、もともと通信相手の宛先を示すロケーターとして作られたものなのに、本来の用途ではない識別子(Identifier)としても用いられてしまっており、それが侵害を招く要因の一つになっている」と指摘した。

さらに、米Tempered Networks セキュリティアーキテクチャ&サービス担当バイスプレジデントのマーク・カプラン氏は「IoT機器が抱える課題の1つが、脆弱性を修正するアップデートが困難なことだ。中には、5年もの間脆弱なまま放置されていた機器があったという報告もある。その上、Shodanなどのツールを使えば、誰でも簡単に、インターネットにつながった脆弱な機器を探し出すことが可能だ。事実、生産システムで用いられているPLCなどは、約900万台がインターネットからアクセスできる状態にある」と述べている。

こうした課題を踏まえ、セキュアなネットワークを実現するため提案された新しいプロトコルが、「HIP」(Host Identity Protocol)だ。元々は、複数のセグメントにまたがる無線LANネットワークで作業していた米ボーイングのエンジニアが、軽量でシンプルかつ安全なプロトコルが必要だ、と考えて提案したもので、現在ではRFC 5201/7401として標準化されている。

HIPは、既存のネットワークのオーバーレイネットワークとして機能する。IPアドレスが果たしてきた「ロケーター」と「識別子」という2つの役割を分離し、識別子は固定したままロケーターの情報は可変とすることで、ネットワーク構成を簡素化する仕組みだ。この結果、HIPを利用する機器がネットワークのどこにあろうとも一意に特定し、暗号化通信を行うとともに、一定のセキュリティポリシーを常に適用できる。

HIPが実現するオーバーレイネットワークで、シンプルかつセキュアな環境を実現Tempered NetworksではこのHIPを実装した「HIPスイッチ」を提供している。HIPスイッチを既存ネットワークに追加するだけで手軽にオーバーレイネットワークを実現すれば、外部からはIPアドレスを隠蔽してTCPベースの攻撃を無効化し、重要なネットワークのセキュリティを強化できる。またHIPで通信する端末間はエンドツーエンドで暗号化される上、VLANでは実現が困難だったきめ細かなアクセス制御も可能だ。

HIPスイッチにはもう一つ、ネットワーク運用を簡素化できるというメリットもある。複雑なVLAN設定を行わずとも、重要ネットワークの分離やマイクロセグメンテーションも実現できるのだ。異なるビルの間で同一のネットワークを実現したり、逆に同じスイッチの下でネットワークを分離したり、といった設定が柔軟に行える。

「もともとボーイングでHIPが生まれた理由の一つが、さまざまな場所で働く従業員の効率を高めつつ、セキュリティを確保したいと考えたからだった。伝統的なネットワークでは、ルーティングやVLAN、ファイアウォールの設定はとても複雑だったが、HIPスイッチはこれを簡素化し、より簡単にする。こうした意味で、IoTや産業システムだけでなく、普通の企業にとってもメリットはある」とカプラン氏は述べている。

Tempered NetworksではHIPスイッチを、専用ハードウェアの形だけでなく、IoTゲートウェイデバイスや仮想マシン上でも動作可能なさまざまなプラットフォームに対応したソフトウェアとしても提供している。これを活用すればクライアント端末はもちろん、AWSやAzureといったクラウド上のホストなど、あらゆるところにHIPを適用し、場所を問わずに柔軟かつ安全なネットワークを構築できる。そのうえオーバーレイ方式なので、既存のネットワークを全て取り替えるという不安も無用だ。面白い取り組みとして、Raspberry PiにHIPスイッチを搭載し、より小さなホームファクタのIoTデバイスやセンサーに適用することも計画している。

エントリモデルのHIPスイッチと、HIPスイッチソフトウェアを搭載したRaspberry Pi
エントリモデルのHIPスイッチと、HIPスイッチソフトウェアを搭載したRaspberry Pi


「TCP/IPやVLANを使って構築されてきた伝統的なネットワークが抱えてきた複雑さを解決したい」とカプラン氏。テリロジーと協力して日本国内で展開を始めたのは2016年11月だが、既にいくつかの通信事業者で評価導入が進んでいるという。

……と説明してみても、HIPが具体的にどのように動作し、どんな設定が可能なのか、疑問に思う方もいるだろう。やはり百聞は一見にしかず。テリロジーでは5月24日(水)から開催される「ワイヤレスジャパン/ワイヤレスIoT EXPO」において、Tempered NetworksのHIPスイッチ実機とともに、IoTネットワークを保護するアプローチを紹介する。ぜひその目で確認していただきたい。

 


★5月26日(金)12:00~東京ビッグサイト西1ホール
展示会場内第2セミナー会場にて講演を行います。
残席僅少のためお申し込みはお早めに!

『安心安全なIoTデバイス利用を実現するステルス化技術』
◎お申し込みはこちら⇒ http://expo.ric.co.jp/wj2017/jizen/seminar.php#65

スペシャルトピックスPR

scsk1805
jpsecure1805
limelight1805

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】IoT FUTURE CITY
 [IoTは暮らしをどう変えるか]“おらが街”もデジタル化
 [柏の葉スマートシティ]IoT事業創造の一大拠点に
 [Fujisawa サスティナブル・スマートタウン]持続的に成長する街を
 [Fukuoka City LoRaWAN]IoTで変化を生み出す街


◆[インタビュー] NEC 河村厚男常務「キャリア事業を構造改革」 ◆「日中間通信」の課題と攻略法 ◆ソフトバンクが日本初のNB-IoT ◆モバイル市場の公正競争の今後 ◆急成長するシスコの“サービス”事業

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

インテル5Gをエンドツーエンドでカバー
新たな価値創出を目指すインテル

インテルは強みの仮想化技術で5G時代のネットワーク構築に貢献する。

コマーチキャリア向けOSS/BSSに強み
自動化やe-ヘルスで社会課題解決

自動化やe-ヘルスで多くの実績を持つコマーチが日本市場に参入した。

ブロードメディア・テクノロジーズ小森コーポレーションが
Aryakaで日中間通信を安定化!

日系企業の中国ビジネスに立ちはだかるのが通信環境の問題だ。

IIJグローバルソリューションズ日中間ネットワークの安定運用へ
VPN規制を乗り切る解決策提供

安定的な越境通信を実現するには何が必要か?

NTTコミュニケーションズIoTビジネスの種まきから結実まで
NTT Comの「次の一手」とは

自社発行型eSIMでの新サービス提供に期待!

SAS Institute Japanデータ分析の老舗、SASが提案するIoT時代のデータ活用

IoTのはじめの一歩を踏み出す前に考えるべきポイントは?

SigfoxSigfoxが開始1年で100万回線!
いよいよ花開くIoTビジネス

LPWAの代表格「Sigfox」の最新動向と活用事例を徹底レポート!

WatchGuard Wi-Fi Cloud不正APを自動遮断するWIPS搭載!
ソーシャルWi-Fiで販促支援も

セキュアな無線LAN環境を実現できる「WatchGuard Wi-Fi Cloud」

無線LAN構築・運用のポイントをSCSKが語る

無線LANの大きなトレンドとなっている「クラウドWi-Fi」で課題解決!

ジェイピー・セキュア導入実績100万サイト以上の
国産WAF「SiteGuard」

業界最速レベルで防御機能を提供するジェイピー・セキュアのWAF製品

ライムライト・ネットワークスクラウド型WAFでWebサイトを保護

ライムライトなら、自社のCDNやDDoS対策との多層防御でオリジンサーバーを攻撃から防御できる。

Office 365ユーザは使わなきゃ損
Teamsでチームワークが劇的に!

Office 365の新ツール「Teams」を使い始める企業が続出している。

CASO新技術のホワイトボックス
M2Mルーターは「切れない接続」

Foxconnグループでホワイトボックスを展開するCASO。

東京エレクトロンデバイスグローバル企業のSaaS活用を後押し
マルチクラウド化の準備はCASBで

マルチクラウドを一元的に管理したい。そんな望みを叶えられる。

拠点・モバイルをつなぐだけ!
クラウドの安全はシンプルに守る

クラウド利用の拡大とともに複雑化するセキュリティ課題を解決!

NetskopeCASBでクラウドはどこまで操れるか
既存のセキュリティとどう違う?
 

Netskopeを例にCASBの機能と使い方、メリットを整理した。

ソフトバンクソフトバンクがSMB向けの
ソリューションパートナー募集!

働き方改革を中心に新たなソリューション開発を支援する。

日本マイクロソフトSkype for Businessを
快適に使いこなすコツとは?

UCの導入効果を最大化するためには備えが必要だ。

アクセスランキング

月刊テレコミュニケーション20180226
iot22
compass

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2018 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます