日本ラディシス RadiSys LTE SEG LTEの基地局回線網を支える キャリア仕様のセキュリティGW

米ラディシスが今年リリースしたLTE SEGは、よりフラットなオールIPアーキテクチャであるLTEを利用するためのソリューション。1台で最大20万IPSecトンネル、20Gbpsの処理能力を持つこの製品は、LTE展開時のセキュリティを提供すると同時に、LTEのネットワークコストの低減にも貢献することになりそうだ。

 IPSecによるリモートアクセスシステムを実現したり外部からの不正侵入を防止するために企業で広く使われているセキュリティGW(ゲートウェイ)――その携帯キャリアネットワーク向けバージョンといえるのが、米ラディシスが今年初めにリリースした「RadiSys LTE Security Gateway(以下LTE SEG)である。

 この製品はネーミングの通り、現在整備が進められている次世代モバイルネットワークLTE(Long Term Evolution)の基地局網の整備に使われるもの。LTE普及の鍵となると見られるこの新しいソリューションの実像を見ていく。

スマートフォン普及によるモバイルデータの急増


 ここにきて携帯キャリアのLTE導入の動きにはずみがついてきた。その動きを牽引しているのが、スマートフォンやタブレット端末の急速な普及だ。100Mbps超の高速データ通信に対応できるだけでなく周波数の利用効率を現行3G携帯電話の3倍以上に高められるLTEが、その受け皿として脚光を浴びているのだ。

 これらのスマートフォンやタブレット端末はモバイルビデオやデータアプリケーションを多用するが、より多くのデバイス間で大量のミッションクリティカルなデータが送受信され、ネットワーク攻撃に対する防御の重要性が増す。

 さらにLTEでは、コアネットワークもIPベースのシンプルなものに一新される。EPC(Evolved Packet Core)と呼ばれるこの新コアでは、ネットワークデバイスも汎用化され、構築コストが大幅に低減されるという。これもキャリアがLTEの導入に動く大きな動機の1つだ。

基地局回線もIP網で


 もう1つ注目されるのが、LTEでは、基地局(eNodeB)とEPCコア間の接続もIP化されること。この際にTDM/ATMベースの回線が使われていた2G/3G携帯電話に相当するセキュリティを確保するために、IPSecトンネルを構成し、暗号化を各フローに施す。こうした技術仕様は、3GPPで策定されたNDS(Network Domain Security)によって定められている。NDSでは、同じセキュリティドメイン内のネットワーク要素間の相互接続に加え、異なるキャリア間の接続などのセキュリティドメイン同士の相互接続にもIPSecを用いることが規定されている。

 この技術の導入は、キャリアのネットワーク展開の自由度を広げることにもなっている。

 例えば、海外で行われている複数のキャリアによる回線や基地局の共同利用も容易になる。

 不感地対策などの目的でユーザー宅内に設置されるLTE用フェムトセルでは、セキュリティが担保されないインターネット回線が使われるが、IPSecの導入により通信の漏洩やコアネットワークへの不正侵入などのリスクを回避することが必須になる。海外では同様の手法で通常の基地局をインターネット経由で収容しようという試みもなされているという。

RadiSys LTE SEGの展開例

RadiSys LTE SEGの展開例

キャリア向けの処理能力


ジェフ・シャープ氏

米ラディシス
シニアプロダクトマネージャー
ジェフ・シャープ氏

 冒頭で述べたようにIPSecは企業の情報システムでも広く使われるこなれた技術だが、これをキャリアネットワークであるLTEに利用するためには遙かに厳しい要件をクリアする必要がある。

 その鍵となるのが、eNodeBからの回線が集約されるEPC側のセキュリティGWだ。

 まず前提となるのが数多くの基地局からの莫大な呼、データトラフィックをリアルタイム処理できる高いパフォーマンスを持つこと。加えて障害発生時にもバックアップにスムーズに切り替えて通信を維持できる冗長性も不可欠だ。

 こうしたニーズに対応できるキャリアグレートのセキュリティGWとしてラディシスが投入したのが、LTE SEGなのだ。

 具体的には@EPCを構成するネットワーク機器を外部の脅威から保護するステートフルファイヤーウォールとAIPSecの機能をサポートしており、セキュリティGWでは初めて3GPPのNDSに準拠した製品となっている。@のファイヤーウォールは40Gbpsのデータトラフィック、400万以上のIPフローに対応が可能。フル冗長なATCAシステムをベースに、定義済みあるいはカスタムのフィルター、一貫性検査、DoS攻撃防御などの機能も備えている。AIPSecについては最大20Gbpsのスループットを持ち、20万トンネルをサポートする。

 米ラディシスでLTE SEGを所管するシニアプロダクトマネージャーのジェフ・シャープ氏は「この製品は現在提供されている製品の5倍の処理能力を備えている。これにより通信事業者のネットワークの初期コストと運用コストを大幅に低減できる」と強調する。

 製品ラインナップはシャーシに収められた「システムタイプ」と、単体の「ブレードタイプ」が用意されている。いずれもATCA(AdvancedTCA)規格準拠である。

LTE SEGの製品ラインナップ

LTE SEGの製品ラインナップ

ブレードで新機能を提供


 ラディシスの顧客はキャリアにネットワーク機器を提供している通信機メーカーやシステムインテグレーターであり、主にこれらの企業がラディシスのソリューションを自社製品に組み込み、キャリアのニーズに合わせてカスタマイズした上で、携帯電話キャリアに提供している。

 その意味から特に重要なポジションを占めるのが「ブレードタイプ」である。

 通信機メーカーの多くは、ATCAベースの製品をキャリア向けのネットワーク装置の主力として展開しているが、これらの装置でもIP化に伴い脅威への対応が求められる。既存製品にラディシスLTE SEGブレードを追加することで、NDS準拠のセキュリティGWの機能を追加することが可能になるのだ。

 ジェフ氏は「LTE SEGによりメーカーは、スケーラブルで経済的なキャリアグレードのセキュリティを可能にする製品をタイムリーに事業者に提案することができる」という。

 ラディシスは2007年に米インテルのATCA関連事業部門を買収、ATCAビジネスではトップを走っている。現在同社では、ブレードやシャーシなどコンポーネントだけでなく、ソフトウェアを統合したソリューションを顧客に提供する取り組みに力を入れている。LTE SEGはその一翼を担うものなのだ。

 LTE SEGのもう1つの大きな特徴として挙げられるのが、その用途の広さだ。

 前述のインターネット回線を使ったフェムトセルサービスや、Wi-Fi経由で携帯電話のトラフィックをオフロードさせるサービスは、すでに展開されている3Gネットワークでの利用の他、将来主力となるLTEでも広く使われることが想定されており、これらに必要な認証なども幅広くサポートされている。

 LTE SEGは、さまざまな分野で携帯電話キャリアのネットワークに浸透していくことになりそうだ。

page top
お問い合わせ先
日本ラディシス株式会社
営業部
TEL:03-6912-1251
URL:http://www.radisys.com/japan/
E-mail:jp_info@radisys.com