仮想化技術が拓く最新のセキュア仮想ネットワークソリューション
SUMMARY
企業における情報漏えいなどの情報セキュリティ事故は、社会的信用の失墜など事業継続に対して大きなリスクとなっています。これに対して、企業は各種の情報セキュリティ対策を実施していますが、ネットワークインフラ面では、導入コストや運用コスト面の課題により、大きな対策をとりにくいというのが実情です。
アラクサラのセキュア仮想ネットワークは、最新のネットワーク仮想化技術を用いることで、それらの課題を解決した、安全で信頼性の高いネットワークインフラ構築手法です。
情報セキュリティ最大のリスク、情報漏えいへの効果的な対策とは
この数年、企業活動に大きな影響を与える情報漏えい事故は増加傾向にあり、セキュリティ対策に関するニーズが高まっています。既に、多くの企業が様々な情報セキュリティ対策に取り組んでいますが、導入コストや運用コスト等の要因でなかなか手をつけられないのがネットワークインフラ面での対策です。
ネットワークの設計において最も効果的なセキュリティ対策は、組織や役割に応じてネットワークを物理的に分けることです。しかし、複数の物理ネットワークが必要になるので、機器台数や電力、スペースなどが大きく膨らみ、コスト面での負担が大きくなります。
そこで、ネットワーク設計の一般的な対策としては、ネットワークは単一のまま、フィルタ機能を使って通信を制御する方法が主流です。この方法なら機器台数は増えず、初期投資を抑えることができます。しかし、その一方で、複雑なフィルタ設定のメンテナンスが必要となります。また、フィルタに依存し続けることは、セキュリティ対策漏れの要因につながります。
この初期投資と運用コストという課題を同時に解決できるのが、仮想ネットワークと仮想ファイアウォールから構成するセキュア仮想ネットワークです。
セキュア仮想ネットワークは、ネットワークを仮想的に分離し、仮想ファイアウォールを併用することでセキュリティを確保するソリューションです。
セキュア仮想ネットワークで中心的な役割をになうのが、アラクサラのネットワーク仮想化技術「ネットワーク・パーティション」です。ネットワーク・パーティションによって各ネットワークを論理的に分離し、セキュリティを確保しながら、運用・管理の容易化を実現することができます。さらに、仮想化ならネットワーク機器は増えないため、省エネやコスト削減などの効果も期待できます。
複数のネットワークを仮想的に分離し、独立性を確保するネットワーク・パーティション機能
仮想ネットワークはネットワーク・パーティション(VRF機能)によって、ネットワークの規模によらず容易に構築できます。仮想ネットワークの概念を下図に示します。
アラクサラのネットワーク・パーティションは、IPv6やマルチキャストにも対応した仮想ネットワークを構築できます。さらに、リングプロトコルや冗長機能と併用することで高信頼性を確保、ルーティングリソースを適切に配分することで安定性の高い仮想ネットワークが実現できます。
物理的には1つのネットワークの中に、仮想的に別々のネットワークを構築することで、ネットワークを物理的に分けたときと同レベルのセキュリティを低コストで容易に実現します。
セキュア仮想ネットワークを構成するもう一つの要素、仮想ファイアウォール
ネットワーク・パーティションによって組織間のセキュリティを確保した後は、各組織のセキュリティポリシー運用方法が課題となってきます。例えば、開発部門とスタッフ部門ではアクセスできるリソースの範囲や、使用するアプリケーションが異なります。大学のケースであれば、職員と学生は異なるポリシーで管理するのが一般的です。
この課題を解決するには、組織ごとに複数のファイアウォールを導入するという手法が考えられますが、ファイアウォールは非常に高価なため、有効性を認められながらも見送られるケースが多くなっていました。
この課題に対しては、仮想ファイアウォールの活用が有効です。ネットワークパーティションと仮想ファイアウォールを組み合わせることによって、仮想ネットワーク間のセキュアな通信を可能にします。また、物理的には単一のネットワークでありながら、初期投資と運用コストを抑えたまま、柔軟なセキュリティのネットワークを構築できます。
セキュア仮想ネットワークの特徴
<特長1> シンプルな物理構成で、高度なネットワークを実現
仮想化技術の組み合わせであるセキュア仮想ネットワークなら、高度なセキュリティや機能を有するシステムを、シンプルな物理構成で実現することができます。概念を下図に示します。
例えば、総務、営業、開発ごとにセキュリティポリシーを管理したいというニーズに対して、セキュア仮想ネットワークであれば、物理的には従来と変わらないシンプルなネットワーク構成で実現できます。さらに、組織の変更や統廃合などが発生した場合でも、ネットワークの物理構成を大幅に変更する必要は無く、仮想的なリソースの変更で対応することができます。
仮想化技術の活用により、高い柔軟性を持ったセキュアなネットワークを構築することができます。
<特長2> ネットワーク認証との連携で利便性もアップ
仮想ネットワークに接続する際、不正ユーザによるアクセスをどのようにして防ぐかなど、不正侵入に対するセキュリティをどのように確保するかという課題があります。この解決策として、ユーザの接続制御を行うネットワーク認証と連携するのが有効です。
ネットワーク認証によって、正規のユーザであることが確認できれば、総務部の社員は総務部の仮想ネットワーク、開発部の社員は開発部の仮想ネットワークに接続することが可能となります。
会社やキャンパス内のどこからでも自分の所属する仮想ネットワークにアクセスできるため、利便性の高いセキュアなネットワークの利用が可能になります。
<特長3> IPv6への移行もセキュア仮想ネットワークでスムーズに
IPv4アドレス枯渇のため、JPNICによる通信関連事業者に対する割り当てが終了しました。今後、IPv6への移行が進むと考えられ、その場合、IPv6化の影響をあらかじめ検証する必要が出てきます。しかし、このためだけに新たにIPv6ネットワークを構築するのは、コスト的に難しいのが現実です。
また、最近のネットワーク機器はIPv4/IPv6デュアルスタックに対応しているので、既存ネットワーク上に検証環境を構築することも可能ですが、IPv6のセキュリティ対策に関してまだ未知な部分もあり、安定運用している既存のネットワーク上に検証用環境を構築するのは、業務へのリスクが懸念されます。
このようなケースにもセキュア仮想ネットワークが有効です。通常業務はIPv4の仮想ネットワークで継続運用しながら、検証作業はIPv6の仮想ネットワークで行うといったことが可能になるので、IPv4からIPv6への移行過渡期において、既存のIPv4環境を生かしながら、スムーズにIPv6環境へ移行することが可能です。
セキュア仮想ネットワークは、IPv4からIPv6への移行を進める上で、移行に伴う影響をあらかじめ検証し、低コストで安全に業務等への影響を最小限に抑えることが可能なソリューションです。
セキュア仮想ネットワークソリューションのシステム構築ガイド
セキュア仮想ネットワークにより、導入コスト・運用コストを抑えたシステムを構築することができます。アラクサラでは、仮想ファイアウォールに最適なベンダとして、フォーティネットと共同で相互検証を実施し、設定ガイドを作成しました。
セキュア仮想ネットワークソリューションが最適なお客様
- 自治体
住民情報系ネットワーク、事務系ネットワークを仮想的に分離することで、物理的に分けた場合と同レベルのセキュリティを確保できるため、大幅なコスト低減が可能になります。 - 大学・研究機関
学生、教職員、管理などのレベルで仮想ネットワークに分離し、高度なセキュリティを確保するとともに、ネットワーク認証との連携によって利便性も向上します。 - 企業ネットワーク
各部門ごとにネットワークを仮想化してセキュリティポリシーを分離することで、組織改変や情報セキュリティへの柔軟な対応を可能にします。
アラクサラでは、セキュア仮想ネットワークソリューションを通じて、お客様に最適なセキュアネットワーク環境を提供します。
