DPU＋AIで実現する「ゼロトラストセキュリティ」

大西氏がもう1つ、データセンターのセキュリティ対策にDPUを活用する利点として挙げるのが、DPUが「ゼロトラストセキュリティ」の有力な実現手段となり得ることだ。

外部のネットワーク（インターネット）と内部ネットワーク（社内ネットワーク）の間に境界を設け、境界を出入りするトラフィックを厳しく監視し、異常があれば遮断などの措置をとる従来の「境界型セキュリティ」に替えて、「ゼロトラストセキュリティ」の導入が不可欠になっている。

ゼロトラストとは、守るべき情報にアクセスするものをすべて信用せずに、安全性を検証することで、セキュリティを確保する新しいセキュリティの概念だ。

大西氏は、こうした考え方が登場した背景には、内部犯の増加と、一旦内部に入りこまれた場合の防ぎにくさもあると指摘する。内部犯には巧妙なメール詐欺の手口に引っかかりマルウェア入りのメールを開いてしまったケースも含まれる。

データセンターに侵入したマルウェアは、内部のサーバーに攻撃をしかけ、取得した情報を外部に送信する。

データセンター内の各サーバーにNICに替えて装着されるDPUは、こうした攻撃に対処するうえで非常に有利な立ち位置にある。それぞれのサーバーを出入りするパケットをチェックし疑わしいデータのやり取りがあれば、必要に応じて差し止めるといったシステムが容易に実現できるからだ。

加えて大西氏は、エヌビディアが得意とするAI技術もゼロトラストを実現する有力な手段になると見る。

「セキュリティ分野における問題の多くは対象となるデータが膨大であることに起因している。エヌビディアは、数が増えるのならAIを使ってそれを上回るスピードで解析すればこの問題を解決できるのではないかという野望を持っている。ゼロトラストを本当に実現するにはやり取りされる全データをリアルタイムで解析することが必要となる。セキュリティの専門家にも、現実にはそれは無理だと考えている人が少なくないが、エヌビディアはこれに正面から挑戦しようしている」

その具体的な取り組みとなるのが、エヌビディアが、2021年に提供を開始したセキュリティ分野を対象とするAIプラットフォーム「NVIDIA Morpheus（モーフィアス）」である。

Morpheusのフレームワーク（画像クリックで拡大）

Morpheusの利用が想定されているユースケースは多岐にわたるが、大西氏が分かりやすい例として挙げるのが、フィッシングメールの検知システムでの利用だ。

「現在のフィッシングメール対策は、ドメインやサーバーへのアクセス履歴などをチェックしてスパムかどうかを判断している。Morpheusを使えば、メール本文に含まれている単語や言葉の使い方なども含めてチェックし、より正確な判断が下せる」という。

AIの精度は、機械学習の材料となるデータが多いほど向上する。フィッシングメール対策はまさにAI向きのユースケースといえるだろう。

Morpheusで重要な点は、単に解析を行うだけでなく、DPUと連携することで、実際にセキュリティ対策を行うシステムが実現できることだ。

例えば、DPUでパケットの検証処理の一部を行ったうえで、データをMorpheusに送出。これをMorpheusが解析し、セキュリティ侵害が発生していると判斷するとセキュリティポリシーを作成してDPUに渡し、これに基づき特定の通信を差し止めるといったことが、ほぼ自動で行えるようになるという。MorpheusとDPUを用いてこうしたシステムを実現するフレームワークをエヌビディアでは「NVIDIAゼロトラスト サイバー セキュリティプラットフォーム」の名称で展開している。

DPUとMorpheusを連携させることで、異常な通信の発生を検出、自動で差し止めるシステムも容易に構築できる（画像クリックで拡大）

米国を中心に多くのベンダーが、このプラットフォームを活用したゼロトラストソリューションの開発にすでに取り組んでいるとのこと。製品展開が始まれば、データセンターのセキュリティ対策は、現在より格段に強固なものになるはずだ。

＜お問い合わせ先＞
エヌビディア合同会社
お問い合わせ窓口：https://nvj-inquiry.jp/