～直感的なGUIによる容易なトラフィック制御で、ネットワークの実環境に影響を与えることなくセキュリティ機器を検証～

ビッグスイッチネットワークス株式会社（Big Switch Networks、本社：米国カリフォルニア州サンタクララ、日本法人：東京都千代田区、代表：田島 弘介）は本日、国立大学法人九州工業大学（所在地：福岡県北九州市、学長：尾家 祐二、以下 九州工業大学）に、「Big Monitoring Fabric™ Inline（※）」が国内で初めて採用されたことを発表しました。

（※）同製品は、DMZレイヤと呼ばれる組織内と外部ネットワークのセキュリティ境界のトラフィックをフローベースで簡単にチェイニング（連鎖）させることのできるSDNコントローラーです。

九州工業大学は、1909年に設立された私立明治専門学校を前身とする国内有数の工学系国立大学です。現在は工学部、情報工学部ならびに大学院（工学府、情報工学府、生命体工学研究科）から構成され、福岡県内に戸畑、飯塚、若松の3つのキャンパスを有しています。同大学の情報基盤運用室では、教職員および学生に対して利便性の高いICTインフラを提供しながら、安全なネットワーク環境を維持するため、CSIRT業務にも積極的に取り組んできました。

導入背景
九州工業大学情報基盤運用室では、更なるセキュリティ強化を実現するため、以前から運用していたシングル構成のファイアウォールを、複数ベンダー製品による多段構成にすることを検討していました。また、攻撃者をかく乱させる狙いで、どちらのファイアウォール・UTMをパケットが通過するか、ポリシーによって細かく制御したいと考えていました。実際に複数のファイアウォールやUTMを借り受け、当初はスイッチが持つミラーリング機能にて検証が行われましたが、すぐ課題に直面します。

一つ目の課題は、そもそもミラーリングで取得したパケットでは十分に機能しないセキュリティ製品が多く存在し、インラインで評価できる環境が不可欠になった点です。二つ目の課題は、インラインで検証する場合、複雑で難易度が高いスイッチのコンフィグ設定が求められたことです。三つ目の課題は、スイッチのコンフィグを駆使しても、不具合やメンテナンス時に片方の機器だけを切り離すことができないため、可用性を担保することが困難だった点です。

こうしたなか、インラインでの検証を行う新たな方法として同大学のシステム構築を担うネットワンシステムズ株式会社から提案を受けたのが、ソフトウェアを使ったトラフィックの制御でした。当時、唯一の選択であった「Big Monitoring Fabric Inline」を試用したところ、その容易な設定と使い勝手が高く評価され、この度正式導入するに至りました。

導入効果
Big Monitoring Fabric Inlineを導入したことで、本番データを用いた実環境において、しっかりとしたインライン検証を手軽に行うことが可能になりました。また、直感的なGUIは、ネットワーク上のトラフィック状況を可視化できるだけでなく、ボタン一つでトラフィックの出し入れができるため、機器の切り替え・切り離しを容易に行うことができるようになっています。

九州工業大学 情報科学センター 准教授 情報基盤運用室 工学博士 中村 豊氏は次のように述べています。「我々のように本番環境でSDNを実運用している例はほとんど聞いたことがありません。正直なところ当初は私も懐疑的でしたが、使ってみると効果は期待以上でした。設定が容易で使い勝手もよく、トラフィックの出し入れでトラブルが起きることが一切なくなりました。現在では境界部のネットワーク制御は、この手法以外にないと考えています。」

今後の展望
九州工業大学情報基盤運用室では、引き続きポリシーベースの詳細なトラフィック制御に取り組みほか、今後も継続的なファイアウォール・UTM検証にBig Monitoring Fabric Inlineを活用する予定です。

以上

Big Switch Networksについて
Big Switch Networksは、次世代データセンターのネットワーキング企業です。世界中の顧客企業に対して、自動化されたインテリジェントかつ高柔軟性なネットワークを設計することで、ネットワーキングの現状に破壊的創造をもたらしています。SDNと業界標準ハードウェアの組み合わせが原則となっており、現在は2つのソリューションを展開しています。次世代ネットワークパケットブローカーであるBig Monitoring Fabricは、インラインまたは帯域外の環境を実装対象に、データセンターとクラウドにおけるトラフィックの広範なセキュリティとモニタリングを実現します。業界初の次世代スイッチングファブリックであるBig Cloud Fabricは、OpenStack、VMware、コンテナ、ビッグデータを対象に、スイッチングハードウェアの選択肢を提供します。Big Switch Networksの本社は米国カリフォルニア州サンタクララです。

詳細については、Webサイト（bigswitchnetworks.jp）、Twitter（@bigswitch）、LinkedIn、YouTubeをご参照ください。