トレンドマイクロ 代表取締役社長(CEO) エバ・チェン氏
トレンドマイクロ 代表取締役社長(CEO) エバ・チェン氏
[画像のクリックで拡大表示]

 
 SDN(Software Defined Networking)はネットワークのアーキテクチャーの大きな変革であり、様々なエリアに大きな影響を及ぼす。その一つがセキュリティ分野である。SDN環境下においては、これまでのセキュリティのアーキテクチャーとは異なるポリシーベースのアプローチが求められる。そしてSDNによって、これまで以上にアプリケーションやデータを分離しセキュリティチェックすることも可能になる。セキュリティ製品のリーディング企業の一つであるトレンドマイクロのエバ・チェン代表取締役社長(CEO)に、SDNがもたらすセキュリティ・アーキテクチャーの変化について聞いた。

(聞き手は堀越 功=日経コミュニケーション


SDNのような大きなネットワークのアーキテクチャーの変革は、セキュリティの考え方やアプローチにも影響を与えるのではないか。

 その通りだ。SDNはこれまでのインフラを一新する大きな波だ。セキュリティの考え方にも大きな変化をもたらす。

 これまでのネットワーク環境は、ルーターがあり、スイッチがあり、スイッチの各ポートにコンピュータが接続されていた。このようなネットワーク環境下では、ポートやIPアドレスなどをベースにセキュリティチェックをしていた。例えばファイアウォールはルーターの前に設置され、どのポートを開放するかをチェックし、IDSやIPSはHTTPなどどのプロトコルを通すかを判断。エンドポイント環境の防御ではファイルのスキャニングも実施していた。ただこれまでの環境では、全体のセッションを統合的に把握するのは困難だった。

 ではSDN環境下では、どのようにセキュリティの考え方が変わるのか。SDNではネットワークを構成する要素が全てダイナミックに変化しうる。これまでのエンドポイントの管理は大抵IPアドレスをベースにしている。そのため、これまでのようなセキュリティのアプローチでは対応できないことになる。

 SDNの環境下では、例えばこれまでのファイアウォールやIDS/IPSなどは、SDNコントローラーと連携して動作する必要がある。具体的にはSDNコントローラーと連携したセキュリティゲートウエイが、ポリシーに沿ってプロトコルやファイル内容などをスキャンし、OKならば通すといった形だ。このセキュリティゲートウエイはエンドポイントの防御とも連携する必要があるだろう。

 逆に言えばSDNによって、このようにポリシーベースでレイヤー2からレイヤー7までを統合的にセキュリティチェックすることがやりやすくなる。実はこのようなコンセプトに基づき、トレンドマイクロのセキュリティ製品「Trend Micro Deep Security」を米ヴイエムウェアのSDNソリューション「VMware NSX」と連携できるようしている。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら