企業ネットワーク最前線

ネットワークをセキュアに、かつシンプルに

IoT時代がはらむセキュリティの課題を解決する「HIPスイッチ」とは?

文◎高橋睦美(ライター) 提供◎株式会社テリロジー 2017.05.08

  • bookmark
  • Teitter
  • 印刷

IoTの本格的な普及・活用に当たって欠かせないのがセキュリティ対策だ。テリロジーが代理店契約を結んだ米Tempered Networksでは、「HIP」という新しいプロトコルを活用したオーバーレイネットワークというアプローチによって、この課題を解決しようとしている。

 
これまでインターネットにつながっていなかったさまざまな機器がワイヤレス接続などを介してつながり、互いに情報を交換したり、クラウドにデータを蓄積し、そこから得られた解析結果を活用して最適化していく……Internet of Things(IoT)とワイヤレス接続の活用によって、こうした新しい価値が生まれようとしている。

ただ、そこで避けられない課題が「セキュリティ」だ。もともとつながることを想定せずに設計された機器がインターネットに接続されると、マルウェア感染や情報漏えいといったさまざまなリスクが生まれる恐れがある。2016年にはその懸念が、IoT機器に感染する「Mirai」ボットネットという形で現実のものになった。2016年10月、Miraiボットネットが過去最大規模のDDoS攻撃を実行した結果、TwitterやNetflixといったインターネット上の幾つかの主要なサービスが停止する自体に陥ったことは記憶に新しい。

こうした課題を踏まえ、機器メーカーやセキュリティ企業がいくつかの対策を提案している。IoTデバイス上で特定のアプリケーションしか動作させないようにするホワイトリスト型のセキュリティソフトや、ネットワーク分離を支援するファイアウォールなどがその例だが、いずれも後付けであり、根本的な対策とは言い難い。しかもIoTには、PCなどのITシステムとは異なり、アップデートや停止が困難といった条件がある。
 
こうした現状を解決すべく新しい形のネットワークを提案しているのが、米Tempered Networks(テンパードネットワークス)だ。販売代理店となったテリロジーとともにソリューションを展開する同社に、特徴を尋ねた。
Tempered Networks
米Tempered Networks セキュリティアーキテクチャ&サービス担当バイスプレジデントのマーク・カプラン氏(左)と日本・アジアパシフィック担当バイスプレジデント、リチャード・ティング氏(右)

初めからセキュリティを考慮せずに設計されたTCP/IPが抱える課題インターネットは「つながる」ことを目指して構築された世界だ。インターネットを支える根本技術「TCP/IP」も、互いにつながり合うことを目指して設計されてきた。だからこそこれだけ多くの価値やイノベーションが生まれたのだが、残念ながら攻撃者にとっても利用しやすく、魅力的な世界になってしまっている。

米Tempered Networks 日本・アジアパシフィック担当バイスプレジデント リチャード・ティング氏は「TCP/IPは誰でも簡単につながることを念頭において作られたプロトコルであり、初めからセキュリティを織り込んで設計されたわけではない。例えばIPアドレスは、もともと通信相手の宛先を示すロケーターとして作られたものなのに、本来の用途ではない識別子(Identifier)としても用いられてしまっており、それが侵害を招く要因の一つになっている」と指摘した。

さらに、米Tempered Networks セキュリティアーキテクチャ&サービス担当バイスプレジデントのマーク・カプラン氏は「IoT機器が抱える課題の1つが、脆弱性を修正するアップデートが困難なことだ。中には、5年もの間脆弱なまま放置されていた機器があったという報告もある。その上、Shodanなどのツールを使えば、誰でも簡単に、インターネットにつながった脆弱な機器を探し出すことが可能だ。事実、生産システムで用いられているPLCなどは、約900万台がインターネットからアクセスできる状態にある」と述べている。

こうした課題を踏まえ、セキュアなネットワークを実現するため提案された新しいプロトコルが、「HIP」(Host Identity Protocol)だ。元々は、複数のセグメントにまたがる無線LANネットワークで作業していた米ボーイングのエンジニアが、軽量でシンプルかつ安全なプロトコルが必要だ、と考えて提案したもので、現在ではRFC 5201/7401として標準化されている。

HIPは、既存のネットワークのオーバーレイネットワークとして機能する。IPアドレスが果たしてきた「ロケーター」と「識別子」という2つの役割を分離し、識別子は固定したままロケーターの情報は可変とすることで、ネットワーク構成を簡素化する仕組みだ。この結果、HIPを利用する機器がネットワークのどこにあろうとも一意に特定し、暗号化通信を行うとともに、一定のセキュリティポリシーを常に適用できる。

HIPが実現するオーバーレイネットワークで、シンプルかつセキュアな環境を実現Tempered NetworksではこのHIPを実装した「HIPスイッチ」を提供している。HIPスイッチを既存ネットワークに追加するだけで手軽にオーバーレイネットワークを実現すれば、外部からはIPアドレスを隠蔽してTCPベースの攻撃を無効化し、重要なネットワークのセキュリティを強化できる。またHIPで通信する端末間はエンドツーエンドで暗号化される上、VLANでは実現が困難だったきめ細かなアクセス制御も可能だ。

HIPスイッチにはもう一つ、ネットワーク運用を簡素化できるというメリットもある。複雑なVLAN設定を行わずとも、重要ネットワークの分離やマイクロセグメンテーションも実現できるのだ。異なるビルの間で同一のネットワークを実現したり、逆に同じスイッチの下でネットワークを分離したり、といった設定が柔軟に行える。

「もともとボーイングでHIPが生まれた理由の一つが、さまざまな場所で働く従業員の効率を高めつつ、セキュリティを確保したいと考えたからだった。伝統的なネットワークでは、ルーティングやVLAN、ファイアウォールの設定はとても複雑だったが、HIPスイッチはこれを簡素化し、より簡単にする。こうした意味で、IoTや産業システムだけでなく、普通の企業にとってもメリットはある」とカプラン氏は述べている。

Tempered NetworksではHIPスイッチを、専用ハードウェアの形だけでなく、IoTゲートウェイデバイスや仮想マシン上でも動作可能なさまざまなプラットフォームに対応したソフトウェアとしても提供している。これを活用すればクライアント端末はもちろん、AWSやAzureといったクラウド上のホストなど、あらゆるところにHIPを適用し、場所を問わずに柔軟かつ安全なネットワークを構築できる。そのうえオーバーレイ方式なので、既存のネットワークを全て取り替えるという不安も無用だ。面白い取り組みとして、Raspberry PiにHIPスイッチを搭載し、より小さなホームファクタのIoTデバイスやセンサーに適用することも計画している。

エントリモデルのHIPスイッチと、HIPスイッチソフトウェアを搭載したRaspberry Pi
エントリモデルのHIPスイッチと、HIPスイッチソフトウェアを搭載したRaspberry Pi


「TCP/IPやVLANを使って構築されてきた伝統的なネットワークが抱えてきた複雑さを解決したい」とカプラン氏。テリロジーと協力して日本国内で展開を始めたのは2016年11月だが、既にいくつかの通信事業者で評価導入が進んでいるという。

……と説明してみても、HIPが具体的にどのように動作し、どんな設定が可能なのか、疑問に思う方もいるだろう。やはり百聞は一見にしかず。テリロジーでは5月24日(水)から開催される「ワイヤレスジャパン/ワイヤレスIoT EXPO」において、Tempered NetworksのHIPスイッチ実機とともに、IoTネットワークを保護するアプローチを紹介する。ぜひその目で確認していただきたい。

 


★5月26日(金)12:00~東京ビッグサイト西1ホール
展示会場内第2セミナー会場にて講演を行います。
残席僅少のためお申し込みはお早めに!

『安心安全なIoTデバイス利用を実現するステルス化技術』
◎お申し込みはこちら⇒ http://expo.ric.co.jp/wj2017/jizen/seminar.php#65

スペシャルトピックスPR

silverpeak
nissho1801
yamaha1711

>> 今月の月刊テレコミュニケーション

月刊テレコミュニケーション【特集】ネットワーク未来予想図
     ~これから2020年までに起こること~


◆[インタビュー]原田博司 京大教授「Wi-SUN FANが海外で人気! LPWA市場で世界第3位へ」 ◆ブロックチェーンにIoT担当者が注目すべき理由 ◆SD-WANの2018年 ◆Skype for Businessが働き方を変える ◆“業界3位” エクストリームネットワークスの野望

>>詳しい目次を見る

ホワイトペーパー

スペシャルトピックス

日本マイクロソフトWindows 10/Office 365の更新
これだけ知っていれば怖くない!

ネットワーク帯域を圧迫するアップデートをうまく乗り切るには?

チェック・ポイント・ソフトウェア・テクノロジーズチェック・ポイントのSMB戦略
あらゆる環境で攻撃を未然に防ぐ

日本向けにローカライズし、パートナーもユーザーも扱いやすく。

ロジクールSkype for Business用
会議室コンソール「SmartDock」

働き方改革に有効なSfB会議が簡単かつ安全に始められる!

協和エクシオSfB導入の課題解決をサポート

協和エクシオは通建事業60年のノウハウを活かし、Skype for Business導入トータルサービスを提供する。

ソフトバンクSkype for Businessの利用促進
コスト大幅削減を実現するには?

ソフトバンクのGlobalMeet電話会議サービスで実現可能だ。

ブロードメディア・テクノロジーズグローバル企業の悩みを一掃!
“本当に使える”SD-WAN基盤

WANの課題を一掃するAryakaの
SD-WANが心強い味方になる。

NECネッツエスアイSilver PeakのSD-WANは
独自技術でSaaS通信をフル制御

「SaaSを快適かつ安定的に使いたい」という企業ニーズに応える。

日商エレクトロニクスクラウドが快適に使えるSD-WAN

日商エレクトロニクスが販売する「Cisco SD-WAN」(旧Viptela)は、常に進化し続けるSD-WANだ。

サクサ中小企業も容易にセキュリティ対策

サクサのUTM「SS5000」は、コンパクトながら充実機能。外部だけでなく内部の脅威にも対応できる。

Office 365ADCでOffice 365通信の課題解決!

Office 365通信の課題であるプロキシ/FWの負荷増大と運用の複雑化を一気に解決するのがADCだ。

ウォッチガード・テクノロジー・ジャパンネットワークとPCを同時に守る!

ウォッチガードはNW防御にエンドポイントでのセンサー技術を組み合わせ、包括的で効果的な対策を実現!

サイバーリーズンAIで攻撃の兆候をリアルタイム検知
既知だけでなく未知の脅威も防御

AIを活用した独自分析技術で、悪意ある振る舞いを検知するEDR製品。

パロアルトネットワークスGTP-C/GTP-Uのセキュリティ強化
次世代FWをモバイル網に適用

携帯電話事業者のネットワークは次世代ファイアウォールが守る。

NECマグナスコミュニケーションズPHS/ISDNからLTEへ簡単移行!

「マルチキャリアで冗長化したい」「シリアルI/Fなど既存環境に手を加えたくない」といった声に応える。

アットマークテクノ柔軟な拡張性・出荷実績30万台の
安心感の日本製IoTゲートウェイ

ASEAN中心に認証を取得で、IoTシステムの海外展開にも便利だ。

Office 365導入を成功に導くため NWを見直すべき10のポイントOffice 365導入を成功に導くため NWを見直すべき10のポイントOffice 365導入を成功に導くため
NWを見直すべき10のポイント

実際の失敗例をもとに、ネットワークの見直しのポイントを整理する。

無線LAN APだけで電子証明書も運用可能に 運用管理を容易化する工夫も満載!無線LAN APだけで 電子証明書も!

ヤマハのAPは内蔵コントローラ で複数のAPを統合管理できる。セキュリティ機能も充実だ。

Wi-Fiの見えない脅威を可視化・防御 ワイヤレスIPSをお求めやすい価格で!「見えない脅威」にさらされている
無線LANをどう守る?

Wi-Fiの見えない脅威を可視化・防御するワイヤレスIPSを手頃な価格で!

オンプレミス型のPBX/ビジネスフォンは“時代遅れ”では決してない。

機械学習/AIを使った自律運用型ネットワークをArubaは提案する。

ウォッチガードなら「導入運用の容易性」と「強固なセキュリティ」を兼ね備えたWi-Fi環境が手に入る。

アクセスランキング

月刊テレコミュニケーション201712
wj2018b
compass
packet

「通信」の力でビジネスを進化させるbusinessnetwork.jp

Copyright(c) 2017 RIC TELECOM Co.,Ltd. All Rights Reserved. 記事の無断転載を禁じます