fbpx

ネットワークの新しい規範:SDN (Software Defined Networking)

従来のネットワークアーキテクチャは今日の企業、キャリア、エンドユーザの要求を満たすには不向きだ。Open Networking Foundation (ONF) が主導する幅広い業界の努力のおかげで、SoftwareDefined Networking (SDN) はZTNAへのネットワークアーキテクチャを変革している。

エグゼクティブサマリー

SDN アーキテクチャでは、制御とデータプレーンは分離され、ネットワークインテリジェンスと状態は論理的に集中化され、基礎となるネットワークインフラストラクチャはアプリケーションから抽象化される。その結果、企業やキャリアは前例のないプログラマビリティ、自動化、ネットワーク制御を獲得し、変化するビジネスニーズに容易に適応する高度にスケーラブルで柔軟なネットワークの構築を可能にします。

ONF は非営利の業界コンソーシアムで、SDN の進歩をリードし、OpenFlowプロトコルのような SDNアーキテクチャの重要な要素を標準化している。OpenFlow は SDN のために特別に設計された最初の標準インターフェースであり、複数のベンダのネットワークデバイス間で高性能で粒度の高いトラフィック制御を提供します。

OpenFlow ベースの SDN は現在様々なネットワーキングデバイスとソフトウェアで展開されており、企業とキャリアの両方に大きな利益をもたらしています。

  • 複数ベンダーのネットワークデバイスの一元管理と制御。
  • 共通のAPIを使用して、オーケストレーションやプロビジョニングのシステムやアプリケーションからネットワークの詳細を抽象化することで、自動化と管理を改善します。
  • 個々のデバイスを設定したり、ベンダーのリリースを待つことなく、新しいネットワーク機能やサービスを提供することで、迅速なイノベーションを実現します。
  • 共通のプログラミング環境を使用して、オペレータ、企業、独立系ソフトウェアベンダー、ユーザー(機器メーカーだけでなく)がプログラミングを行うことで、すべての関係者に収益と差別化を促進する新たな機会を提供します。
  • ネットワークデバイスの集中管理と自動管理、統一されたポリシーの実施、設定ミスの減少により、ネットワークの信頼性とセキュリティが向上します。
  • セッション、ユーザー、デバイス、アプリケーションの各レベルで包括的かつ広範なポリシーを適用できるため、よりきめ細かなネットワーク制御が可能になります。
  • アプリケーションが中央化されたネットワークの状態情報を利用して、ネットワークの動作をユーザーのニーズにシームレスに適応させることで、より良いエンドユーザー体験が得られる。

SDN はダイナミックで柔軟性のあるネットワークアーキテクチャであり、既存の投資を保護しながらネットワークの将来性を保証する。SDN によって、今日の静的なネットワークはビジネス、エンドユーザ、市場のニーズの変化に迅速に対応できる拡張可能なサービスデリバリプラットフォームへと進化することができる。

新しいネットワークアーキテクチャの必要性

モバイルデバイスやコンテンツの爆発的な普及、サーバの仮想化、クラウドサービスの出現など、ネットワーク業界では従来のネットワークアーキテクチャの再検討が進められています。従来のネットワークの多くは階層構造になっており、ツリー構造に配置されたイーサネット・スイッチを何層にも重ねて構築されています。この設計は、クライアント・サーバ・コンピューティングが主流だった時代には理にかなっていましたが、このような静的なアーキテクチャは、今日のエンタープライズ・データセンター、キャンパス、およびキャリア環境の動的なコンピューティングおよびストレージのニーズには不向きです。新しいネットワーク・パラダイムの必要性を促進している主なコンピューティング・トレンドには、以下のようなものがあります。

  • 交通パターンの変化。企業のデータセンター内では、トラフィックのパターンが大きく変化しています。通信の大部分が 1 つのクライアントと 1 つのサーバの間で行われるクライアント・サーバ・アプリケーションとは対照的に、今日のアプリケーションは異なるデータベースとサーバにアクセスし、「東西」のマシン間のトラフィックを大量に発生させた後、従来の「南北」のトラフィック・パターンでエンドユーザ・デバイスにデータを返しています。同時に、ユーザーは、自分のデバイスを含むあらゆるタイプのデバイスから企業のコンテンツやアプリケーションにアクセスし、いつでもどこからでも接続したいと考えているため、ネットワーク・トラフィック・パターンも変化しています。最後に、多くの企業データセンターの管理者は、プライベート・クラウド、パブリック・クラウド、またはその両方を組み合わせたユーティリティ・コンピューティング・モデルを検討しており、広域ネットワークのトラフィックが増加しています。
  • ITのコンシューマ化です。スマートフォン、タブレット、ノートパソコンなどのモバイル・パーソナル・デバイスを利用して企業ネットワークにアクセスするユーザーが増えています。IT部門は、企業のデータや知的財産を保護し、コンプライアンスを遵守しながら、これらのパーソナルデバイスをきめ細かく対応しなければならないというプレッシャーにさらされています。
  • クラウドサービスの台頭。企業はパブリックとプライベートの両方のクラウドサービスを積極的に取り入れており、その結果、クラウドサービスはかつてないほどの成長を遂げています。企業のビジネスユニットは、アプリケーション、インフラストラクチャ、およびその他の IT リソースにオンデマンドでアラカルトでアクセスできる俊敏性を求めています。さらに複雑さを増しているのが、セキュリティ、コンプライアンス、監査要件の強化、ビジネスの再編、統合、合併など、一夜にして前提条件が変わる可能性のある環境下で、IT部門がクラウドサービスの計画を立てなければならないということです。プライベート・クラウドでもパブリック・クラウドでも、セルフサービス・プロビジョニングを提供するには、コンピューティング、ストレージ、およびネットワーク・リソースの弾力的なスケーリングが必要です。
  • “ビッグデータ “とは、より多くの帯域幅を意味します。今日の「ビッグデータ」またはメガデータセットを処理するには、何千台ものサーバで大規模な並列処理を行う必要があり、これらのサーバはすべて相互に直接接続する必要があります。メガデータセットの増加に伴い、データセンターのネットワーク容量の追加が常に求められています。ハイパースケールデータセンターネットワークの運営者は、ネットワークをこれまで想像を絶する規模にまで拡張し、あらゆる接続性を維持しながら、破たんすることなくネットワークを拡張しなければならないという困難な課題に直面しています。

現在のネットワーク技術の限界

現在の市場の要件を満たすことは、従来のネットワーク・アーキテクチャでは事実上不可能です。企業の IT 部門は、予算が横ばいまたは削減されていることに直面し、デバイスレベルの管理ツールや手動のプロセスを使用して、ネットワークから最大限の効果を得ようとしています。通信事業者も、モビリティと帯域幅の需要が爆発的に高まる中、同様の課題に直面しています。既存のネットワーク・アーキテクチャは、今日のユーザー、企業、通信事業者の要件を満たすように設計されたものではなく、むしろネットワーク設計者は、以下のような現在のネットワークの制限によって制約を受けています。

  • うっ血につながる複雑さ。今日までのネットワーキング技術は、主に任意の距離、リンク速度、およびトポロジ上でホストを確実に接続するために設計されたプロトコルの離散的なセットで構成されていました。ここ数十年の間にビジネスや技術的なニーズを満たすために、業界はネットワーキングプロトコルを進化させ、より高いパフォーマンスと信頼性、より広い接続性、そしてより厳しいセキュリティを実現してきました。しかし、プロトコルは個別に定義される傾向があり、それぞれが特定の問題を解決するものであり、基本的な抽象化の恩恵を受けることはありません。これが、今日のネットワークの主要な制限の一つである複雑さにつながっています。たとえば、デバイスを追加したり移動したりするには、IT 部門は複数のスイッチ、ルータ、ファイアウォールWeb認証ポータルなどに触れ、デバイスレベルの管理ツールを使用して ACL、VLAN、サービス品質(QoS)、およびその他のプロトコルベースのメカニズムを更新しなければなりません。さらに、ネットワーク・トポロジー、ベンダーのスイッチ・モデル、ソフトウェアのバージョンをすべて考慮しなければなりません。このように複雑なため、今日のネットワークは比較的静的なものとなっており、IT 部門はサービス中断のリスクを最小限に抑えようとしています。ネットワークの静的な性質は、今日のサーバ環境の動的な性質とは対照的です。サーバの仮想化により、ネットワーク接続を必要とするホストの数が大幅に増加し、ホストの物理的な位置に関する前提条件が根本的に変化しました。仮想化以前は、アプリケーションは 1 台のサーバ上に存在し、主に特定のクライアントとトラフィックを交換していました。今日では、アプリケーションは複数の仮想マシン(VM)に分散しており、相互にトラフィックの流れを交換しています。VMはサーバのワークロードを最適化してリバランスを取るために移行するため、既存のフローの物理的なエンドポイントが時間の経過とともに(場合によっては急速に)変化します。VM の移行は、アドレススキームやネームスペースから、セグメント化されたルーティングベースの設計の基本的な概念に至るまで、従来のネットワーキングの多くの側面に挑戦しています。仮想化技術の採用に加えて、今日では多くの企業が音声、データ、およびビデオ・トラフィックのために IP コンバージド・ネットワークを運用しています。既存のネットワークでは、異なるアプリケーションに対して差別化された QoS レベルを提供することができますが、これらのリソースのプロビジョニングは非常に手動で行われます。IT 部門は、各ベンダーの機器を個別に設定し、ネットワーク帯域幅や QoS などのパラメータをセッションごと、アプリケーションごとに調整する必要があります。静的な性質のため、ネットワークはトラフィック、アプリケーション、ユーザーの要求の変化に動的に適応することができません。
  • 一貫性のない方針。ネットワーク全体のポリシーを実装するために、IT 部門は何千ものデバイスやメカニズムを設定しなければならない場合があります。例えば、新しい仮想マシンが立ち上がるたびに、IT 部門がネットワーク全体の ACL を再構成するのに数時間、場合によっては数日かかることもあります。今日のネットワークの複雑さは、IT 部門がアクセス、セキュリティ、QoS、その他のポリシーを一貫して適用することを非常に困難にしており、企業はセキュリティ侵害、規制への違反、その他の悪影響を受けやすくなっています。
  • スケール感の無さ。データセンターの需要が急速に増加するにつれ、ネットワークも成長しなければなりません。しかし、構成と管理が必要な数百から数千のネットワーク・デバイスが追加されると、ネットワークは非常に複雑になります。また、IT 部門は、予測可能なトラフィック・パターンに基づいてネットワークを拡張するために、リンクのオーバーサブスクリプションに頼ってきましたが、今日の仮想化されたデータ・センターでは、トラフィック・パターンは信じられないほど動的で、したがって予測不可能です。グーグル、ヤフー、フェイスブックなどのメガ・オペレーターは、さらに困難なスケーラビリティの課題に直面しています。これらのサービスプロバイダは、大規模な並列処理アルゴリズムとそれに関連するデータセットをコンピューティングプール全体で使用しています。エンドユーザーのアプリケーションの範囲が拡大するにつれ(例えば、検索結果をユーザーに即座に返すためにワールドワイドウェブ全体をクロールしてインデックスを作成するなど)、コンピューティング要素の数は爆発的に増加し、コンピュートノード間のデータセットの交換はペタバイトに達する可能性があります。このような企業には、数十万、数百万の物理サーバ間で高性能かつ低コストの接続性を提供できる、いわゆるハイパースケール・ネットワークが必要となります。このようなスケーリングは、手動での設定ではできません。競争力を維持するためには、通信事業者はこれまで以上に価値の高い、より差別化されたサービスを顧客に提供しなければなりません。ネットワークは、異なるアプリケーションと異なるパフォーマンスニーズを持つユーザーのグループにサービスを提供しなければならないため、マルチテナンシーは、通信事業者のタスクをさらに複雑にしています。顧客のトラフィック・フローをステアリングしてカスタマイズされたパフォーマンス制御やオンデマンド配信を提供するなど、比較的簡単に見える主要な操作も、既存のネットワーク、特にキャリア・スケールで実装するには非常に複雑です。また、ネットワーク・エッジに特殊なデバイスを必要とするため、資本支出や運用コストが増加し、新サービスの導入までの期間も長くなります。
  • ベンダー依存通信事業者や企業は、変化するビジネスニーズやユーザーの要求に迅速に対応して、新しい機能やサービスを展開しようとしています。しかし、ベンダーの機器の製品サイクルが3年以上に及ぶこともあり、その対応能力は妨げられています。標準的でオープンなインターフェイスがないため、ネットワーク事業者が個々の環境に合わせてネットワークを調整する能力が制限されています。市場の要求とネットワークの能力の間にあるこのミスマッチが、業界を転換点に追い込んでいます。これに対応するため、業界は Software-Defined Networking (SDN) アーキテクチャを作成し、関連する標準を開発している。

 

ソフトウェア定義型ネットワーキングの導入

Software Defined Networking (SDN) はネットワーク制御が転送から切り離され、直接プログラム可能な新しいネットワークアーキテクチャである。以前は個々のネットワークデバイスに強く縛られていた制御がアクセス可能なコンピューティングデバイスに移行することで、基礎となるインフラストラクチャをアプリケーションやネットワークサービスのために抽象化することが可能になり、ネットワークを論理的または仮想的なエンティティとして扱うことができるようになります。

図 1 は SDN アーキテクチャの論理的なビューを示している。ネットワークのインテリジェンスは(論理的に)ソフトウェアベースの SDN コントローラに集中され、ネットワークのグローバルなビューを維持している。その結果、ネットワークはアプリケーションとポリシーエンジンに単一の論理的なスイッチとして見える。SDN によって、企業とキャリアは単一の論理ポイントからネットワーク全体をベンダーに依存せずにコントロールできるようになり、ネットワークの設計と運用が大幅に簡素化される。SDN はまた、ネットワークデバイス自体も大幅に単純化する。なぜなら、何千ものプロトコル標準を理解して処理する必要がなくなり、SDN コントローラからの指示を受け入れるだけだからだ。

おそらく最も重要なことは、ネットワークオペレータと管理者は何千ものデバイスに散らばった何万行もの設定を手作業でコーディングするよりも、この単純化されたネットワークの抽象化をプログラムで設定することができるということだ。さらに、SDN コントローラの集中化されたインテリジェンスを活用することで、IT はリアルタイムでネットワークの動作を変更し、新しいアプリケーションやネットワークサービスを数時間から数日のうちにデプロイすることができる。

今日必要とされている数週間や数ヶ月ではなく。ネットワークの状態を制御層に集中させることで、SDN はネットワークマネージャに動的で自動化された SDN プログラムを介してネットワークリソースの設定、管理、安全性の確保、最適化の柔軟性を与える。さらに、彼らはこれらのプログラムを自分で書くことができ、ネットワークの真ん中にあるベンダのプロプライエタリでクローズドなソフトウェア環境に機能が組み込まれるのを待つ必要はない。

ネットワークを抽象化することに加えて、SDN アーキテクチャは一連の API をサポートしており、ルーティング、マルチキャスト、セキュリティ、アクセス制御、帯域幅管理、トラフィックエンジニアリング、サービス品質、プロセッサとストレージの最適化、エネルギー使用量、そしてビジネスの目的に合わせてカスタマイズされたあらゆる形態のポリシー管理を含む一般的なネットワークサービスの実装を可能にしている。例えば、SDN アーキテクチャはキャンパス内の有線と無線の両方の接続において一貫したポリシーを定義し、実施することを容易にする。

同様に、SDN はインテリジェントなオーケストレーションとプロビジョニングシステムを通してネットワーク全体を管理することを可能にする。Open Networking Foundation はマルチベンダ管理を促進するためにオープンAPIを研究しており、オンデマンドのリソース割り当て、セルフサービスプロビジョニング、真の仮想化ネットワーキング、セキュアなクラウドサービスへの扉を開いている。

このように、SDN の制御層とアプリケーション層の間のオープンAPI により、ビジネスアプリケーションはネットワークの抽象化された上で動作し、実装の詳細に縛られることなくネットワークサービスと機能を活用することができる。SDN はネットワークを “アプリケーションを意識したもの” ではなく “アプリケーションにカスタマイズされたもの” にし、アプリケーションを “ネットワークを意識したもの” ではなく “ネットワーク機能を意識したもの” にする。その結果、コンピューティング、ストレージ、ネットワークのリソースを最適化することができる。

オープンフローの内部

OpenFlow は SDN アーキテクチャの制御層と転送層の間で定義された最初の標準的な通信インターフェースである。OpenFlow はスイッチやルータのようなネットワークデバイスのフォワーディングプレーンへの直接アクセスと操作を可能にする。今日のネットワークデバイスがモノリシック、クローズド、そしてメインフレームのようなものであるという特徴付けにつながっているのは、フォワーディングプレーンへのオープンなインターフェースがないことだ。OpenFlow と同じことができる標準プロトコルは他になく、ネットワーク制御をネットワーキングスイッチから論理的に中央集権化された制御ソフトウェアに移すためには、OpenFlow のようなプロトコルが必要とされています。

SDN ユースケース

ONF は著名な企業やサービスプロバイダ、システムやアプリケーションの開発者、ソフトウェアやコンピュータの会社、半導体やネットワーキングのベンダによって指導されている。この通信とコンピューティング業界の多様な断面は SDN と関連する標準が市場の各セグメントにおけるネットワークオペレータのニーズに効果的に対応することを確実にするのに役立っている。

  • キャンパス – SDN の集中化された自動制御とプロビジョニングモデルはデータ、音声、ビデオのコンバージェンスをサポートし、IT が有線と無線の両方のインフラストラクチャに一貫してポリシーを適用できるようにすることで、いつでもどこでもアクセスできるようにする。同様に、SDN は個々のユーザープロファイルとアプリケーション要件によって決定されるネットワークリソースの自動プロビジョニングと管理をサポートし、企業の制約の中で最適なユーザー体験を保証する。
  • データセンター – SDN アーキテクチャはネットワークの仮想化を促進し、データセンターでのハイパースケーラビリティ、自動化された VM 移行、ストレージとのより緊密な統合、より良いサーバ利用率、より低いエネルギー消費、帯域幅の最適化を可能にします。
  • クラウド – プライベートクラウドやハイブリッドクラウド環境をサポートするために使われるかどうかに関わらず、SDN はネットワークリソースを非常に伸縮性のある方法で割り当てることを可能にし、クラウドサービスの迅速なプロビジョニングと外部のクラウドプロバイダへのより柔軟なハンドオフを可能にします。仮想ネットワークを安全に管理するツールがあれば、企業やビジネスユニットはますますクラウドサービスを信頼するようになるだろう。

ONFホワイトペーパー ソフトウェア定義ネットワーキング。ネットワークの新しい規範
OpenFlow は CPU の命令セットに例えることができます。図 2 に示されているように、プロトコルは CPU の命令セットがコンピュータシステムをプログラムするのと同じように、外部のソフトウェアアプリケーションがネットワークデバイスの転送プレーンをプログラムするために使用できる基本的なプリミティブを規定している。

OpenFlow プロトコルはネットワークインフラストラクチャデバイスと SDN コントロールソフトウェアの間のインターフェースの両側に実装されている。OpenFlow はフローの概念を使い、SDN コントロールソフトウェアによって静的または動的にプログラムされた事前に定義されたマッチルールに基づいてネットワークトラフィックを識別する。また、IT は使用パターン、アプリケーション、クラウドリソースのようなパラメータに基づいてネットワークデバイスを通過するトラフィックの流れを定義することができます。OpenFlow はネットワークをフロー毎にプログラムすることを可能にするので、OpenFlow ベースの SDN アーキテクチャは非常に細かい制御を提供し、ネットワークがアプリケーション、ユーザ、セッションレベルでのリアルタイムの変化に対応することを可能にする。現在の IP ベースのルーティングはこのレベルの制御を提供していない。なぜならば、二つのエンドポイント間のすべてのフローは、それらの異なる要件に関わらず、ネットワークを通る同じパスに従わなければならないからだ。

OpenFlow プロトコルはソフトウェア定義ネットワークのキーイネーブラーであり、ネットワークデバイスのフォワーディングプレーンを直接操作できる唯一の標準化された SDN プロトコルである。最初はイーサネットベースのネットワークに適用されていたが、OpenFlow スイッチングはより広範なユースケースに拡張することができる。OpenFlow ベースの SDN は物理的にも仮想的にも既存のネットワーク上にデプロイすることができる。ネットワークデバイスは従来のフォワーディングと同様に OpenFlow ベースのフォワーディングをサポートすることができ、企業やキャリアがマルチベンダのネットワーク環境であっても OpenFlow ベースの SDN テクノロジーを徐々に導入することを非常に簡単にしている。

Open Networking Foundation は OpenFlow を標準化するために設立され、プロトコル、コンフィギュレーション、相互運用性テスト、その他の活動を担当する技術的なワーキンググループを通して、異なるベンダのネットワークデバイスや制御ソフトウェア間の相互運用性を確保するのを支援しています。OpenFlow はインフラストラクチャベンダによって広く採用されており、彼らは通常シンプルなファームウェアやソフトウェアのアップグレードで実装している。OpenFlow ベースの SDN アーキテクチャは企業やキャリアの既存のインフラストラクチャとシームレスに統合し、SDN の機能を最も必要とするネットワークのセグメントにシンプルな移行パスを提供することができる。

OpenFlowベースのソフトウェア定義のメリット
ネットワーク

企業とキャリアにとって、SDN はネットワークを単なる避けて通れないコストセンターではなく、競争上の差別化要因とすることを可能にする。OpenFlow ベースの SDN テクノロジーは IT が今日のアプリケーションの高帯域幅、ダイナミックな性質に対処し、ネットワークを常に変化するビジネスニーズに適応させ、運用と管理の複雑さを大幅に削減することを可能にする。

企業やキャリアが OpenFlow ベースのSDN アーキテクチャを通して達成できる利益には以下のようなものがあります。

  • マルチベンダー環境の集中管理SDN コントロールソフトウェアはスイッチ、ルーター、仮想スイッチを含むあらゆるベンダーの OpenFlow 対応ネットワークデバイスをコントロールできる。個々のベンダのデバイスのグループを管理するのではなく、IT は SDN ベースのオーケストレーションと管理ツールを使ってネットワーク全体のデバイスを素早くデプロイ、設定、更新することができます。
  • 自動化により複雑さを軽減。OpenFlow ベースの SDN は柔軟なネットワークの自動化と管理フレームワークを提供し、今日手動で行われている多くの管理タスクを自動化するツールの開発を可能にする。これらの自動化ツールは運用上のオーバーヘッドを減らし、オペレータエラーによってもたらされるネットワークの不安定性を減らし、IT-as-a-Service やセルフサービスプロビジョニングモデルをサポートします。さらに、SDN を使えば、クラウドベースのアプリケーションはインテリジェントなオーケストレーションとプロビジョニングシステムによって管理され、ビジネスの俊敏性を高めながら運用上のオーバーヘッドをさらに減らすことができる。
  • 技術革新率が高い。SDN の採用は IT ネットワークの運用者が特定のビジネスニーズやユーザーの要求を満たすために文字通りリアルタイムでネットワークをプログラムし、再プログラムすることを可能にすることでビジネスの革新を加速させる。ネットワークインフラストラクチャを仮想化し、個々のネットワークサービスから抽象化することで、例えば SDN と OpenFlow は IT、そして潜在的にはユーザさえもネットワークの動作を調整し、新しいサービスやネットワーク機能を数時間のうちに導入する能力を与える。
  • ネットワークの信頼性とセキュリティが向上しました。SDN は IT が高レベルのコンフィギュレーションとポリシーを定義することを可能にし、それは OpenFlow を介してインフラストラクチャに変換される。OpenFlow ベースの SDN アーキテクチャはエンドポイント、サービス、アプリケーションが追加されたり移動されたり、ポリシーが変更されたりする度にネットワークデバイスを個別に設定する必要性を排除し、設定やポリシーの不一致によるネットワーク障害の可能性を減らす。SDN コントローラはネットワークの完全な可視性と制御を提供するので、アクセス制御、トラフィックエンジニアリング、サービス品質、セキュリティ、その他のポリシーが支店、キャンパス、データセンターを含む有線と無線のネットワークインフラストラクチャ全体で一貫して実施されていることを保証することができる。企業と通信事業者は、運用コストの削減、よりダイナミックな構成機能、エラーの減少、一貫した構成とポリシーの実施などのメリットを享受できます。
  • よりきめ細かなネットワーク制御。OpenFlowのフローベースの制御モデルは、高度に抽象化された自動化された方法で、セッション、ユーザー、デバイス、アプリケーションの各レベルを含む非常に細かいレベルでポリシーを適用することを可能にします。この制御により、クラウド事業者は、顧客が同じインフラストラクチャを共有する際に、トラフィックの分離、セキュリティ、弾力性のあるリソース管理を維持しながら、マルチテナンシーをサポートすることができます。
  • より良いユーザー体験。ベルのアプリケーションで利用可能にすることで、SDNインフラストラクチャは動的なユーザーのニーズにより良く適応することができる。例えば、キャリアはプレミアムな加入者に可能な限り最高の解像度を自動化された透過的な方法で提供するビデオサービスを導入することができる。今日、ユーザーは解像度の設定を明示的に選択しなければならず、それはネットワークがサポートできないかもしれないし、できないかもしれないが、その結果、遅延や中断が発生し、ユーザーの経験を低下させている。OpenFlow ベースの SDN では、ビデオアプリケーションはネットワークで利用可能な帯域幅をリアルタイムで検出し、それに応じてビデオの解像度を自動的に調整することができるようになります。

結論

ユーザーのモビリティ、サーバーの仮想化、IT-as-a-Service、ビジネス状況の変化に迅速に対応する必要性などのトレンドは、今日の従来のネットワーク・アーキテクチャでは対応できないネットワークへの大きな要求をもたらしています。Software-Defined Networking は、従来のネットワーク・バックボーンをリッチなサービス・デリバリー・プラットフォームに変換する、新しいダイナミックなネットワーク・アーキテクチャを提供します。

ネットワーク制御とデータプレーンを分離することで、OpenFlowベースの SDN アーキテクチャは基礎となるインフラストラクチャをそれを使用するアプリケーションから抽象化し、ネットワークがますます似てきているコンピュータインフラストラクチャと同じようにプログラマブルで管理可能なスケールになることを可能にします。SDN のアプローチはネットワークの仮想化を促進し、IT スタッフが共通のアプローチとツールセットでサーバ、アプリケーション、ストレージ、ネットワークを管理することを可能にします。キャリア環境であれ、企業のデータセンターやキャンパスであれ、SDN の採用はネットワークの管理性、スケーラビリティ、敏捷性を向上させることができる。

Open Networking Foundationはアプリケーション開発者、ソフトウェア会社、システムや半導体メーカー、コンピュータ会社、そして様々な種類のエンドユーザを含む大小のインフラストラクチャベンダーにまたがる SDN に関する活気あるエコシステムを育ててきた。OpenFlow スイッチングは SDN コントローラソフトウェアと同様に、物理的、仮想的の両方のインフラストラクチャの設計に既に組み込まれている。ネットワークサービスとビジネスアプリケーションは既に SDN コントローラとインターフェイスし、それらの間のより良い統合と調整を提供している。

ネットワークの未来はますますソフトウェアに依存するようになり、それはコンピューティングとストレージの領域でそうであったように、ネットワークのイノベーションのペースを加速させるだろう。SDN は今日の静的なネットワークを、リソースを動的に割り当てるためのインテリジェンス、巨大なデータセンターをサポートするためのスケール、そして動的で高度に自動化された安全なクラウド環境をサポートするために必要な仮想化を備えた柔軟でプログラム可能なプラットフォームに変えることを約束する。その多くの利点と驚くべき業界の勢いで、SDN はネットワークの新しい規範になりつつある。

 

デジタルトランスフォーメーションとビジネスバリューの推進

デジタルトランスフォーメーションは、組織のプロセス・イニシアチブの主要な触媒であり、ビジネスの目標となっています。エンパワーメントされた顧客の増加と破壊的な競合他社からの脅威が、この傾向を強めています。Forresterの2018年第1四半期デジタルプロセス自動化調査によると、ビジネスおよびテクノロジーの意思決定者の32%が、デジタルビジネストランスフォーメーションの加速がプロセス改善イニシアチブの最重要ドライバーであると答えています。

続きを読む

SMB向けの重要なサイバーセキュリティeBook

前書き

近年、中小企業(SMB)を標的とするサイバー犯罪者は、SMB を悪用して破壊するための高度なテクノロジーとソーシャルエンジニアリング手法を使用してますます攻撃的になっています。中小企業へのサイバー攻撃は、データベースの消去、運用、財務、および評判の低下から、業務の麻痺および停止に至るまで、重大な被害を引き起こす可能性があります。今日、中小規模の組織で展開されている平均的なセキュリティソリューションは、攻撃者が最新の革新的な攻撃方法を定期的に使用する絶えず進化する脅威の状況に直面して不十分です。

小規模組織で働いている400人のサイバーセキュリティおよびITプロフェッショナルに対するEnterprise Strategy Group(ESG)の調査によると、過去2年間、回答者の3分の2が少なくとも1回のサイバーセキュリティインシデント(システムの侵害、マルウェアインシデント、DDoS標的型フィッシング攻撃、データ侵害など)を経験しました。回答者のほぼ半数(46%)がセキュリティインシデントが生産性の低下につながったと主張し、37%が攻撃によりビジネスアプリケーションまたはITシステムの可用性が混乱したと述べ、37%がビジネスプロセスが混乱したと述べました。

ESGのシニアプリンシパルアナリストであり、会社のサイバーセキュリティプラクティスの創設者は、「SMBの幹部が、中小企業がサイバー攻撃者にとって簡単な目印になることを認識する時が来ました。 犯罪者はSMBを標的にして金銭を強要したり、貴重なデータを盗んだりしますが、国家は中小企業を接続されたパートナーを攻撃するための先駆けとして使用します。」と信じています。

次の電子書籍は、SMBのセキュリティの基本、フレームワーク、SMBの推奨事項、およびSMBがサイバーセキュリティインシデントを防御および回復するのに役立つ方法論について概説しています。

SMB セキュリティの基礎

包括的なセキュリティプログラムは、中小企業が顧客、従業員、およびビジネスパートナーを獲得して維持するのに役立ちます。米国商務省の一部門である国立標準技術研究所(NIST)によると、顧客は、機密情報が盗難、開示、誤用などから保護されることを期待しています。顧客情報を保護することは、優れたカスタマーサービスであるだけでなく、ビジネスを大切にしていることを顧客に示します。

基本的なビジネスプラクティスとして、コンピューターのセキュリティは、SMBがセキュリティプログラムを実装する際に留意する必要がある3つのプロセス領域(情報セキュリティ、ネットワークセキュリティ、サイバーセキュリティ)に分類できます。

情報セキュリティー

情報セキュリティは、NISTによって「機密性、完全性、および可用性を提供するための不正アクセス、使用、開示、破壊、変更、または破壊からの情報および情報システムの保護」として定義されています。

情報セキュリティには、以下の保護に重点を置く人、プロセス、およびテクノロジーが含まれます。

  • トピック:守秘義務
    不正アクセスおよび開示から情報を保護します。
    例:盗まれたユーザー名、パスワード、またはクレジットカード情報。
  • トピック:整合性
    不正な変更から情報を保護します。
    例:給与情報または提案された製品設計が攻撃者によって変更されました。
  • トピック:可用性
    情報へのアクセス方法の混乱を防ぎます。
    例:あなたの銀行口座、顧客の情報にアクセスできません。または、あなたの顧客があなたのネットワークリソースにアクセスできません。

ネットワークセキュリティー

SANS Instituteは、ネットワークセキュリティを、不正なアクセス、誤用、誤動作、変更、破壊、または不適切な開示から基盤となるネットワーキングインフラストラクチャを保護する物理的およびソフトウェアの予防措置を講じ、それによりコンピュータ、ユーザー、およびプログラムが安全なプラットフォームを作成するプロセスと定義しています。安全な環境内で許可された重要な機能を実行します。

サイバーセキュリティ

そして最後に、NISTはサイバーセキュリティを「コンピュータ、電子通信システム、電子通信サービス、有線通信、および電子通信の損傷の防止、修復、およびそれらに含まれる情報を含む、それらの可用性、完全性、認証、機密性、否認防止」と定義しています。

SMB向けNISTサイバーセキュリティフレームワーク

NISTの出版物Small Business Information Security:The Fundamentalsは、サイバーセキュリティの経験がない中小企業のオーナー向けに書かれています。NISTガイドは、情報システムを保護するためにSMBが実行できる基本的な手順を説明し、重要インフラストラクチャサイバーセキュリティを向上させるためのNIST フレームワークに基づいています。

NIST Small Business Publicationでは、次の方法について説明しています。

  •  データと情報への従業員のアクセスを制限します。
  • 情報セキュリティについて従業員を訓練します。
  • 情報セキュリティのポリシーと手順を作成します。
  • データを暗号化します。
  • Webおよび電子メールフィルターをインストールします。
  • オペレーティングシステムとアプリケーションにパッチを適用するか、更新します。

NISTサイバーセキュリティフレームワークは、もともと重要なインフラストラクチャ組織のために特別に開発されましたが、NIST は、組織がサイバーセキュリティリスクを識別、評価、管理するのに役立つシンプルで共通の言語を備えている中小企業に役立つと考えています。

重要インフラストラクチャを改善するためのフレームワークサイバーセキュリティは、既存の標準、ガイドライン、および慣行に基づく自主的なガイダンスです。NISTによれば、「組織内外のコミュニケーションを改善するのに特に役立ちます。これは、以下の定義されている5つのフレームワークのコア機能を含んでいます。これらの関数は、シリアルパスを形成したり、静的な望ましい最終状態をもたらすことを意図していません。むしろ、機能を同時に継続的に実行して、動的なサイバーセキュリティリスクに対処する運用文化を形成することができます。」ということです。

NISTサイバーセキュリティフレームワークのコア機能の例

  • 機能:識別
    システム、資産、データ、機能に対するサイバーセキュリティリスクを管理するための組織の理解を深めます。ビジネスコンテキスト、重要な機能をサポートするリソース、および関連するサイバーセキュリティリスクを理解することで、組織は、リスク管理戦略とビジネスニーズに合わせて、取り組みに集中して優先順位を付けることができます。
    例:この関数内の結果カテゴリの例は次のとおりです。
    資産運用管理; ビジネス環境、ガバナンス、リスク評価、リスク管理戦略。
  • 機能:保護
    重要なインフラストラクチャサービスを確実に提供するための適切な保護手段を開発して実装します。保護機能は、潜在的なサイバーセキュリティイベントの影響を制限または封じ込める機能をサポートします。
    例:この関数内の結果カテゴリの例は次のとおりです。
    アクセス制御、意識とトレーニング、データセキュリティ、情報保護プロセスと手順、メンテナンス、保護技術。
  • 機能:検出
    サイバーセキュリティイベントの発生を特定するための適切なアクティビティを開発して実装します。検出機能により、サイバーセキュリティイベントをタイムリーに発見できます。
    例:この関数内の結果カテゴリの例は次のとおりです。
    異常とイベント、セキュリティ継続監視、および検出プロセス。
  • 機能:応答
    検出されたサイバーセキュリティイベントに関してアクションを実行するための適切なアクティビティを開発および実装します。応答機能は、潜在的なサイバーセキュリティイベントの影響を封じ込める機能をサポートします。
    例:この関数内の結果カテゴリの例は次のとおりです。
    対応計画、コミュニケーション、分析、緩和、改善。
  • 機能:回復
    レジリエンスの計画を維持し、サイバーセキュリティイベントによって障害が発生した機能やサービスを復元するための適切なアクティビティを開発して実装します。リカバリ機能は、通常の運用へのタイムリーなリカバリをサポートし、サイバーセキュリティインシデントによる影響を軽減します。
    例:この関数内の結果カテゴリの例は次のとおりです。
    復旧計画、改善、コミュニケーション。

SMBサイバーセキュリティチェックリスト

以下のイスラエル国立サイバー総局からの推奨事項は、SMBがITシステム、ビジネス情報、および顧客データを保護するために必要な基本的なビジネスプロセスの概要を示しています。

  1. 従業員の認識
    1. ソーシャルエンジニアリング攻撃、フィッシング詐欺、またはランサムウェア攻撃を防ぐには、従業員のサイバーセキュリティ教育への投資が不可欠です。サイバー攻撃はソーシャルエンジニアリングと人間の弱点に大きく依存しているため、エンドユーザーは、マルウェアが他のコンピューターに拡散するなどの方法で操作される可能性があります。ITセキュリティの意識について従業員を教育する人材と連携したトレーニングプログラムは、サイバー攻撃を防ぐための重要な要素です。
  2. 情報資産マッピングとリスク調査
    1. ITリソースマッピングとリック調査プロセスは、組織のIT資産、ネットワークトポロジ、およびコンピューティングリソースに対する既存のリスクを、オンプレミスまたはクラウドの両方で特定します。組織内外のIT セキュリティ専門家の支援により、既知の脅威、システムの弱点、および既存のセキュリティ対策の分析は、リスクを軽減するために組織のセキュリティアーキテクチャ、ポリシー、およびプログラムに影響を与える上で重要です。
  3. ライセンスソフトウェア
    1. ライセンスソフトウェアを使用すると、秩序だったセキュリティ更新プロセスが保証されます。ライセンスされていないソフトウェアや海賊版ソフトウェアを使用することは攻撃者にとって魅力的な機会です。これには、ビジネスアプリケーションの最新のセキュリティ更新がなければ脆弱性が悪用される可能性もあります。
  4. ウイルス対策ソフトウェア
    1. ビジネスコンピュータまたはモバイルデバイスにローカルにインストールされたウイルス対策ソフトウェアは、脅威を特定し、コンピュータウイルスを隔離および排除します。攻撃者がコンピューティングリソースやネットワークリソースにアクセスできないように、ウイルス対策ソフトウェアを頻繁に(少なくとも1日に1回)更新する必要があります。
  5. ソフトウェアの更新
    1. IT管理者は、すべての内部ソフトウェアとクラウドリソースに対して定期的な自動更新が行われるようにする必要があります。これは、Microsoft Office 365などの定期的に使用されるパーソナルコンピューティングおよびモバイルデバイスのオペレーティングシステムとソフトウェアにとって特に重要であり、ソフトウェアの脆弱性を悪用する潜在的な攻撃者の能力が低下します。
  6. 強力な識別パスワードと、数回の識別試行の失敗後のロック
    1. 最も一般的な攻撃方法の1つは、パスワードの推測とパスワードの解読です。攻撃プロセス中に、攻撃者は正しいものを推測するために数百万の可能なパスワードのパスワードディクショナリを実行します。単純なパスワードを使用すると、簡単に推測してコンピューティングシステムにアクセスできます。数字、大文字と小文字の文字、特殊記号で構成された、推測しにくい長いパスワードを使用することをお勧めします。 2要素認証を使用すると、電子メールフィッシングなどによるパスワードを盗もうとする試みに対する別のセキュリティ層が提供されます。
  7. 情報を暗号化してビジネス情報とクライアントデータを隠す
    1. 暗号化は、HTTPS、安全なプロトコル、データセンターサーバー、企業のコンピューティングデバイスなどのプロトコルを使用して、転送中または保管中の不正アクセスからデータを保護します。ITスタッフまたはサードパーティのソフトウェアサプライヤーによる暗号化の適切な使用を保証するには、ユーザーデータ、暗号化キー、およびネットワークセキュリティを管理する必要があります。
  8. バックアップとリカバリ
    1.  適切なバックアッププロセスにより、さまざまなサイバー攻撃からのリカバリが可能に。
    2. たとえば、ランサムウェア攻撃中に、マルウェアは特定のコンピューター上の情報を暗号化したり、組織のネットワーク全体で人質データを暗号化して保持したりする可能性があります。この場合、更新されたバックアップを介して感染時から情報を復元できるため、ビジネスへのさらなる害を防ぐことができます。バックアップ方法には、ローカルバックアップ、クラウドバックアップ、物理的なドキュメントコピーの印刷などがあります。トリプルバックアップを使用して、初期または二次バックアッププロセス中のデータ損失を最小限に抑えることができます。
      バックアップは、組織の重要な情報を含む外付けドライブまたはテープドライブを使用して実行できます。さらに、情報資産のマッピングは、ビジネスの重要な情報を識別して特定するのに役立ちます。災害やマルウェアの攻撃が発生した場合にビジネスが移行する代替サイトにバックアップを作成することもできます。バックアップ戦略は、ビジネスの固有の性質、ビジネス継続性に必要なデータの範囲、およびさまざまなバックアップソリューションに投資するビジネスの能力に応じて選択されます。
  9. ワイヤレスネットワーク
    1.  従業員とクライアントにワイヤレスネットワークアクセスを提供する場合は、セキュリティリスクを軽減するために、以下のベストプラクティスに従うことをお勧めします。
    2. クライアントまたはインターネットサービスを使用するクライアントがビジネスのプライベートネットワークへの不正アクセスを取得できないように、2つの個別のワイヤレスネットワークを確立します。
    3. 暗号化– 現時点で利用可能な最も強力なワイヤレス暗号化であるWPA2を使用します。
    4. パスワード–長くて複雑なネットワークパスワードを使用し、定期的に変更します。
    5. MACアドレスファームウェア– ホワイトリストフィルターなど、ワイヤレスルーターに接続するMACアドレスを可能な限り強化します。
    6. ネットワークのサービスセット識別子(SSID)を隠します– ネットワークの名前を隠し、エリア内のワイヤレスネットワークを調査しているユーザーに公開されないようにします。
    7. ルーターの管理– ネットワークルーターを管理するためのデフォルトのパスワードを変更します。
    8. ワイヤレスキーボード、ワイヤレスマウス、ワイヤレスプリンターなどのデバイスのワイヤレスセキュリティを確認します。
  10. サイバーセキュリティ保険
    1. 現在市場に出回っている既存のすべてのセキュリティソリューションにもかかわらず、サイバー攻撃は依然としてビジネスに経済的損害を与える可能性があります。攻撃の成功による金銭的被害を最小限に抑える重要な方法は、サイバーセキュリティ保険を購入することです。サイバーセキュリティ保険は、攻撃者が企業に金銭的損害を与えた場合に補償を受ける資格を得るように、企業に基本的なサイバーセキュリティ保護を実装することを要求します。

中小企業向けのクラウドVPN

前述のイスラエル国営サイバー総局の推奨事項に加えて、すべてのSMBは、クラウドVPNをセキュリティ戦略に組み込んで、ネットワークのセキュリティを迅速に高め、データを「送信中」および「保管中」に保護し、暗号化とユーザーアクセス制御を提供する必要があります。 、GDPR、SOC 2、HIPAA、ISO 27001および27002を含むコンプライアンス要件を満たします。

現在、多くのSMBは、企業または従業員所有のWindows、iOS、Mac OS、およびAndroidデバイスを介してアクセスされるOffice 365、AWSまたはSalesforce CRM などのクラウドベースの生産性アプリケーションに依存するさまざまなグローバルオフィスに拠点を置く従業員を抱えています。従業員が自宅や旅行で仕事をするにつれて、リモート接続も重要になっています。安全なWi-Fiホットスポットまたは地理的制限とオンライン検閲によってゲート制御されたパブリックネットワークを介して企業ネットワークにアクセスするビジネスのために、従業員が自宅または出張で仕事をするとき、リモート接続も重要になっています。

ITマネージャーの課題は、ITリソースと予算を使い果たすことなく、安全で信頼できる従業員アクセスを提供することです。従来のVPNは、ハードウェアとソフトウェアの両方の観点から、展開と保守が複雑になる場合があります。これには、物理サーバーとサイト固有のアプリケーション、クラウドベースのインフラストラクチャとアプリケーション、およびIDアクセスと管理の統合が含まれます。したがって、IT管理者は、従来のVPNを超えて、ソフトウェア定義の境界構成で迅速に展開および構成できるクラウドベースのVPNを検討する必要があります。

Perimeter 81ソリューション

Perimeter 81は、SMBにクラウドベースの高度なVPNソリューションを提供し、オンプレミスおよびクラウドリソースへのアクセスを迅速かつ簡単に保護し、従業員アクセスのための軽量のクロスプラットフォームクライアントアプリケーションサポートを提供し、すべてが単一の管理コンソールで制御されます。ソフトウェア定義の境界セキュリティモデルを利用するPerimeter 81のクラウドVPN は、VPNエンドポイントのシームレスな展開を可能にし、デバイス認証、IDベースのアクセス、およびすべてのユーザーに動的にプロビジョニングされる接続を組み合わせたクラウドベースのインフラストラクチャにより、高価なハードウェアを排除します。

モバイル従業員は、Windows、Mac、iPhone、Androidデバイスで使用できるPerimeter 81のシングルサインオンネイティブクライアントアプリケーションで保護されています。Perimeter 81の革新的な自動Wi-Fiセキュリティは、従業員が不明または信頼できないネットワークに接続したときにVPN 保護を自動的にアクティブにすることで、すべてのデータを保護します。

中央制御とID 81 管理がPerimeter 81ポータルに統合されているため、安全なポリシーベースのリソースアクセスにより、従業員とグループを企業ネットワークリソースとクラウド環境に簡単に追加できます。詳細なアクティビティレポートは、リソースと帯域幅の使用状況に関する洞察を提供し、アクティブな接続とセッションの情報を監視できます。

最後に、あらゆるネットワークを通過するすべての企業データは、256ビットの銀行レベルの暗号化で保護され、企業の実際のIPアドレスをIPマスクで隠す専用プライベートサーバーを介してルーティングされます。Perimeter 81の34か所以上にある700を超える高速パブリックサーバーのグローバルネットワークは、プライベートVPNサーバーと専用IPアドレスの迅速かつ簡単な展開を提供します。

レガシーと統合する方法-デジタルプラットフォームの中核を生み出す

インテグレーション(統合)は、コンピュータアプリケーションを連携させて意味のある結果を提供するための接着剤です。統合の概念とベストプラクティスの多くは何十年も前から存在していますが、アプリケーションを作成する新しい方法では、これらの統合パターンを再評価する必要があります。たとえば、複数のモノリシックアプリケーションを統合することは困難ですが、マイクロサービスやその他の分散配置パターンの台頭により、この課題は飛躍的に大きくなっています。

続きを読む

レガシーテクノロジーからマイクロサービスやクラウドに移行すべき理由

レガシーIT資産を持つ企業にとって、モダナイゼーションはビジネスの重要な優先事項であると同時に、リスクが高く費用のかかる作業です。

ハイブリッドITとクラウドネイティブコンピューティングの台頭により、企業はモダナイゼーションツールベルトに、ほんの10年前よりもはるかに強力なツールを備えています。

しかし、近代化は孤立したものではありません。企業がクラウドに移行するにつれ、ハイブリッドITと呼ばれるクラウド環境とオンプレミス環境の組み合わせを実装する企業が増えています。

続きを読む

組織がSASEモデルを採用する必要がある理由

組織がコンピューティングをクラウドとモバイルデバイスに向けて推進し続けるにつれて、エッジコンピューティングは、クラウドサービスオンプレミスのリソースを必要とする数十億の接続デバイスによるアクセス要件を変化させています。同時に、より多くのユーザー、デバイス、アプリケーション、サービス、データが生成され、組織内よりも組織外に配置されています。

続きを読む

AWS環境向けのゼロトラストアクセスと相互接続

企業がAmazonウェブサービス(AWS)などのクラウドコンピューティングプラットフォームを採用し、データと重要なワークロードをオンラインで移行するにつれて、強力なITセキュリティ基盤を確保しながら、クラウドセキュリティに対処する構造を作成するために必要な手順があります。AWSは、プログラムを開発して組織のクラウド導入の取り組みの触媒として機能するように機能が成熟するように、セキュリティの実装では反復的な開発を可能にする必要があると考えています。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されています。

続きを読む

企業におけるIoTトラフィックと脅威の分析

概観

世界中の企業は、組織の効率を改善し、コミュニケーションを強化し、システムパフォーマンスに関する洞察を得るためにIoT製品の使用を採用しています。

ガートナーによると、2020年までに世界で204億のIoTデバイスが使用され、企業の65%以上がIoT製品を採用する予定です。

これらのIoTデバイスの急速な採用により、サイバー犯罪者に新しい攻撃ベクトルが開かれました。そのため、とある研究チームは、クラウド全体のIoTトラフィックを分析することで、企業におけるIoTデバイスの使用を調査し始めました。

チームは、クラウドのトラフィックに基づいて、最近のIoTデバイスのフットプリントに関する1か月のデータを分析しました。この分析では、使用中のデバイスの種類、使用したプロトコル、通信相手のサーバーの場所、受信と送信の通信の頻度、およびIoT トラフィックパターンを調べました。

このレポートでは、この分析の結果について詳しく説明します。

バックグラウンド

IoTデバイスは、ワイヤレスでネットワークに接続し、データを送信する機能を持つ非標準のコンピューティングデバイスです。これらのデバイスは、インターネットを介して通信および対話でき、リモートで監視および制御できます。

接続されたデバイスは、すべてのデバイスが環境内の他の関連デバイスと通信して家庭や産業のタスクを自動化し、使用可能なセンサーデータをユーザー、企業、その他の関係者に伝達するシナリオの一部です。IoTデバイスは、家庭、産業、または企業の人々が協調して機能することを目的としています。

市場規模

IDCは、IoT支出が2019年に7,450億ドルに達し、2022年に1兆ドルを超えると予測しています。これは、2018年の6,460億ドルから15%増加しています。

同じレポートによると、米国と中国がそれぞれ1,940億ドルと1,820億ドルと最も多くの支出になるでしょう。その後、日本、ドイツ、韓国、フランス、イギリスが続きます。

新たな脅威

よくあることですが、IoTテクノロジーは、これらのデバイスとそのユーザーを保護するために利用できるメカニズムよりも速く動いています。

研究者たちはすでにペースメーカーと車のリモートハッキングを実証しています。そして2016年10月にMiraiと呼ばれる大規模な分散型サービス拒否(DDoS)攻撃が米国東海岸のDNSサーバーに影響を与え、世界中のサービスを混乱させました。この攻撃は、ワイヤレスルーターや接続されたカメラなどのIoT デバイスを介してネットワークに侵入するハッカーにまでさかのぼります。

2017年8月、米国上院はIoTデバイスに関連するセキュリティ問題に対処する法案であるIoTサイバーセキュリティ改善法を導入しました。それは始まりですが、この法案は、連邦政府が購入したインターネット対応デバイスのみが業界全体ではなく、最小要件を満たすことを要求しています。しかし、それが全面的に採用されれば、業界全体のIoTセキュリティを改善するための道を開くことができる出発点と見なされています。

それでは、クラウドで最も多くのIoTトラフィックを構成するデバイスと、それらが直面する脅威の種類は何でしょうか?専門家となるチームが発見したものを見てみましょう。

結果

このレポートは、最も頻繁に見られるデバイスカテゴリの一般的な概要を提供し、次に、10種類の特定のタイプのIoTデバイスのトランザクションデータを詳しく調べたものです。

カテゴリーの概要

企業組織ではどのような種類のデバイスが実行されていますか?

  • IPカメラ
  • スマートウォッチ
  • スマートプリンター
  • スマートTV
  • セットトップボックス
  • デジタルホームアシスタント
  • IP電話
  • 医療機器
  • デジタルビデオレコーダー
  • メディアプレーヤー
  • データ収集端末
  • デジタルサイネージメディアプレーヤー
  • スマートグラス
  • 業界の制御デバイス
  • ネットワーキングデバイス
  • 3Dプリンター
  • 自動車(スマートカーを含む)

エンタープライズIoTトラフィックのハイライト

  • 270の異なるIoTデバイスプロファイル
  • 153の異なるIoTデバイスメーカー
  • 5,600万のIoTデバイストランザクションがクラウドで処理されました
  • 1,051の組織に少なくとも1つのIoTデバイスがあります

固有のデバイスタイプ別の上位10の宛先

  • 27.8%米国
  • 6.4%オーストラリア
  • 6.0%中国
  • 日本6.0%
  • 6.0%オランダ
  • 5.3%ドイツ
  • 4.7%アイルランド
  • 4.3%イギリス
  • 3.3%ナミビア
  • 3.3%シンガポール

IoTトランザクション別の上位の宛先

  • 57%オーストラリア*
  • 37%米国*
  • 2%アイルランド共和国
  • 1.5%ナミビア
  • 0.8%日本

カテゴリおよびトランザクション別のデバイス

調査期間中、クラウドで最も頻繁に見られたIoTデバイスはセットトップボックス(通常はビデオのデコードに使用された)で、その後にスマートTV、スマートウォッチ、メディアプレーヤー、プリンターが続きました。次のグラフは、さまざまなカテゴリにわたるIoTデバイスの分布を示しています。

トランザクションに関しては、データ収集端末がすべてのカテゴリで最もアクティブなデバイスであり、クラウドのIoTトラフィックの80%以上を占めています。データ収集端末を除いて、最もアクティブなカテゴリはプリンターで、残りのIoTトランザクションの51%以上がこのカテゴリからのものです。デジタルメディアデバイス、スマートTV、医療機器も主要な貢献者でした。以下のチャートは、より良い状況を把握するために、データ収集端末を除くトランザクションごとのデバイスカテゴリの分布を示しています。

IoTデバイスの洞察

IPカメラとデジタルホームアシスタント

IPカメラは、企業内の監視に使用されるネットワーク接続されたスマートカメラデバイスです。Nest、Foscam、Axis Camera、Yi Technologies、Samsung、Polaroid、Dahuaの7つの異なるブランドの8つの異なるデバイスプロファイルを確認しました。

Amazon EchoやApple HomePodなどのデジタルホームアシスタントデバイスも組織に存在していることがわかりました。

スマートウォッチとスマートグラス

スマートウォッチは、ネットワークに接続されたスマート腕時計で、ヘルスモニタリング、通話、テキストメッセージなどに使用できます。Apple、Samsung、Pebble、Lemfo、Motorola、Mobvoiなど、13の異なるメーカーから18のスマートウォッチがありました。

スマートウォッチに加えて、Googleスマートグラスがクラウドにわずかに存在していることにも気付きました。

スマートプリンターと3Dプリンター

スマートプリンターは、オフィスや家庭でドキュメントの印刷とスキャンに使用されるネットワーク接続プリンターです。Canon、HP、Xerox、Ricoh、Brothersoft、Zebra、Toshibaの7つのメーカーのプリンターを観察しました。

スマートプリンターとともに、3Dプリンターからのトランザクションも確認されました。3Dプリンターは、実際のオブジェクトの作成に使用されるスマートネットワーク接続デバイスです。Ultimakerの3Dプリンターを観察しました。

スマートテレビ

スマートTVは、娯楽やプレゼンテーションの目的でオフィスや家庭で使用されるネットワーク接続されたテレビです。Hisense、Letv、LG、MStar、Panasonic、Philips、Realtek、Samsung、Sharp、Sony、TCL、Xiaomi など、17のメーカーの合計46の異なるTVモデルを観察しました。

セットトップボックスとDVR

セットトップボックスは、画面やテレビにコンテンツをストリーミングするために使用されるネットワーク接続デバイスです。AerialBox、Alfawise、Amazon、Amlogic、Apple、Beelink、BenQ、Bomix、Bqeel、Foxtel Now、Google など、68のメーカーから109の異なるデバイスプロファイルが表示されました。

セットトップボックスに加えて、デジタルビデオレコーダー(DVR)は企業のトラフィックにおいて強力な存在感を示しています。DVRは、デジタルビデオの記録と再生に使用されるネットワーク接続されたスマートデバイスです。TVT、EverFocus、DIRECT TVの3つのメーカーがありました。

IP電話とデータ収集端末

IP電話は、企業で一般的に使用されている、通信に使用されるネットワーク接続されたスマートデスクトップ電話です。Polycom、Grandstream、Cisco、およびYealinkの4つの異なるデバイスを見ました。

また、企業でデータのロギングと保存に使用されるデータ収集端末デバイスも見ました。チェーンウェイ、コッパーニック、ハネウェル、モトローラ、ゼブラの5つのメーカーから合計20の固有のデバイスを特定しました。

医療機器

分析中には、医療ワークステーションもエンタープライズトラフィックに存在し、インターネット接続を必要とするインスリンモニターなどのスマート医療機器を見ました。

メディアプレーヤーとデジタルサイネージメディアプレーヤー

メディアプレーヤーは、ビデオや音楽をストリーミングするためのエンターテイメントデバイスです。Bose、Sonos、Google、Pioneer、Sony、Roku など、18の異なるメーカーの24のデバイスプロファイルが見つかりました。

デジタルサイネージメディアプレーヤーは、テレビ、モニターディスプレイの自動、ワイヤレス、リモート管理に使用されます。私たちは、BrightSign、Navori、ViewSonic、Prometheanの4つのメーカーの6つの異なるモデルを見ました。

産業用制御デバイスとネットワークデバイス

さまざまなタイプの制御システムと関連する計測に使用されるデバイスには、工業プロセスの操作と自動化に使用されるデバイスとシステムが含まれます。

IXON、Netbiter、Synologyのスマートネットワーキングデバイスもエンタープライズログに含まれていました。

自動車機器

興味深いことに、クラウドを介して接続している自動車メディアデバイスもいくつかありました。TeslaとHondaの2つの異なるメーカーの4つの自動車モデルを確認しました。

これらの車に加えて、チェンバレンのスマートガレージドア開閉装置からの取引がありました。

セキュリティとプライバシーの懸念

企業内のIoTデバイスを調べていると、一部のデバイスは適切なセキュリティプラクティスに従っていないため、細工された攻撃に対して脆弱であることがわかりました。我々は我々の分析で観察されたセキュリティ上の問題は、次のとおりです。

  1. ファームウェアまたはパッケージの更新のためのサーバーへのプレーンテキストHTTP通信
  2. プレーンテキストHTTP認証
  3. 古いライブラリの使用
  4. 弱いデフォルト認証情報

SSLと非SSL

また、プレーンテキストで取引しているデバイスの数と、暗号化されたチャネルで取引しているデバイスの数も調べました。私たちはそれを見て、約91.5パーセントのトランザクションが発生しているプレーンテキストチャネルを介してのみ8.5%に対し、SSLを使用しています。

デバイスの観点から見ると、デバイス全体の18%が通信にSSLのみを使用していることがわかりました。デバイスの41 %が部分SSL(一部の通信はSSLを介して行われ、一部は非SSL チャネルを介して行われる)を使用していますが、同じ割合(41%)のデバイスが、どの通信にもSSL/TLSをまったく使用していないことがわかりました。

IoTエンタープライズトラフィックのマルウェア

先進的なクラウドソリューションは四半期ごとに、IoTベースのマルウェアとエクスプロイトからの約6,000のトランザクションをブロックします。

今年初め、IoTデバイスを標的とした特定の脅威を分析しました。チームは、デフォルトのパスワードを使用するブルートフォース攻撃は新しいものではありませんが、デフォルトのデバイスパスワードはインストール後に変更されない傾向があるため、依然として効果的であることがわかりました。多くの場合、IoTマルウェアのペイロードには、既知のデフォルトのユーザー名/パスワード名のリストが含まれています。これにより、感染したIoTデバイスが別のデバイスに感染する可能性があります。ちなみに、不正ログインはテレワーク時にも気をつけるべき対象なので、必要な対策が分からない人はこちらの記事も参考にしてみてください。

さらに、研究者たちは、IoTデバイスに存在する脆弱性を利用していると思われるMiraiボットネットの亜種を確認しました。これらの脆弱性は主に管理フレームワークにあり、それらを悪用することにより、攻撃者はリモートでコードを実行します。これにより、通常、感染したデバイスがボットになり、ボットネット軍が大きくなります。

場合によっては、クリプトマイナーをIoTキャンペーンで配信される最後のペイロードと見なすこともありました。また、2018年12月に登場し、17の異なるエクスプロイトが武器庫にあるRIFTボットネットを検出しました。

調査期間中に確認した上位のIoTマルウェアファミリは次のとおりです。

  • Mirai
  • Gafgyt
  • Hakai
  • Rift
  • Bushido
  • Muhstik

IoTマルウェアファミリーによって接続された上位の宛先

  • 66%が米国に接続しています
  • 12%がカナダに接続
  • 2.5%がフランスに接続
  • 2.2%がギリシャに接続
  • 2%がロシアに接続

結論

IoTデバイスは、あらゆる業界の企業や世界のほぼすべての場所で一般的になっています。これらのデバイスは効率の向上と通信の拡大を支援するように設計されており、組織はこれらのデバイスを日常の運用に組み込む新しい方法を模索し続けています。もちろん、デバイスの多くは従業員が所有しており、これがセキュリティ上の懸念がある理由の1つにすぎません。

事実、近年市場に氾濫しているIoTハードウェアデバイスに組み込まれたセキュリティはほとんどなく、通常これらのデバイスに簡単にパッチを適用する方法はありません。多くの企業は、IoTデバイスに何も保存されていないため、IoTデバイスのセキュリティは不要であると考えてきましたが、そうではありません。Miraiボットネット攻撃は、IoTデバイスの結果として、企業がさらされる可能性があることを示しています。にもかかわらず、企業がコンピュータとして自分のIoT製品を考えていなかった、未来は、彼らがしたことを示した本質的であり、非常に強力なボットネットは、結果としてのIoT製品を使用して一緒に置くことができます。

これらのデバイスは引き続きサイバー攻撃の対象となりやすいですが、企業のIoTフットプリントが拡大するにつれて、リスクを軽減するために実行できることがいくつかあります。

  • デフォルトの資格情報をより安全なものに変更します。従業員がデバイスを持ち込むときは、パスワードが強力であり、ファームウェアが常に最新であることを確認するように奨励します。
  • インバウンドおよびアウトバウンドネットワークトラフィックを制限して、IoTデバイスを(横方向の移動を防ぐために)分離されたネットワークにインストールします。
  • 外部ネットワークからのIoTデバイスへのアクセスをできるだけ制限します。不要なポートを外部アクセスからブロックします。
  • ネットワークトラフィックのセキュリティ保護に加えて、IoTデバイスに定期的なセキュリティとファームウェアの更新を適用します。
  • 最後に、すでにネットワーク内に配置されているシャドウIoTデバイスの可視性を得て、上記の保護手段を確実にするソリューションを展開します。