IIJとトレンドマイクロ、NFV向けのセキュリティで連携
テレコム 無料トレンドマイクロが新たに開発したセキュリティアーキテクチャを用いて、両社が新サービスの実用化に向けた実証実験を実施
インターネットイニシアティブ(以下、IIJ)とトレンドマイクロは11月9日、トレンドマイクロが新たに開発したNFV環境向けのセキュリティアーキテクチャ「分散セキュリティ機能チェイニング」の今後の実用化を視野に入れた施策の第1弾として、IIJが提供するクラウド型のネットワークサービス「IIJ Omnibusサービス(以下、IIJ Omnibus)」において、NFVベースのセキュリティ機能を連携させる実証実験に成功したことを発表した。
今後、両社は2017年度後半を目途にIIJ Omnibusのセキュリティオプションとしてのサービス提供を目指すという。
トレンドマイクロがNFV環境向けに新たに開発したセキュリティアーキテクチャ「分散セキュリティ機能チェイニング」では、細分化した複数のセキュリティ機能を、仮想マシンベースのセキュリティソフトウェア製品としてNFV環境に分散実装する。ネットワーク上の適所に配置された各機能は、利用者のITサービスの利用形態(メール送受信、ウェブサイト閲覧など)やセキュリティの脅威状況に応じて複数のセキュリティ機能を動的に組み合わせて利用することで、必要なセキュリティ機能を必要なタイミングで利用することが可能になる。今後トレンドマイクロは通信事業者やクラウドサービス事業者とともに同アーキテクチャをベースとしたソリューションの実用化を進めていくという。
IIJ Omnibusは、SDNとNFVの技術を活用したクラウド型の新しいネットワークサービスだ。企業ネットワーク上で必要とされる様々な機能を仮想化し、オンデマンドで提供するEnterprise as a Service(EaaS)のサービスとして、IIJが2015年9月より提供している。今回の実証実験における柔軟なセキュリティ機能の追加や動的なネットワーク制御はIIJ Omnibusの技術を応用することで実現している。
今回の実証実験では、セキュリティの監視レベルの強度をIIJ Omnibus上で動的に変更し、さらに不正な通信を発見した際にはネットワーク制御でブロックするという一連の動作を検証した。具体的には、IIJ Omnibus上に仮想マシンベースのIDS(Intrusion Detection System:侵入検知システム)製品を実装し、ネットワーク上を流れるトラフィックからシステムの脆弱性を狙った攻撃を検知した際には、その検知情報をもとにSDNコントローラで動的にネットワーク経路変更を行い、上位レイヤのセキュリティ監視としてネットワーク上のふるまい検知やファイル精査といった機能を適用する。上位レイヤのセキュリティ監視にはトレンドマイクロのネットワーク型脅威対策製品「Deep Discovery Inspector Virtual Appliance(DDIVA)」を使用し、未知のマルウェア通信等を検知するとIIJ OmnibusのSDNによる制御で当該通信をブロックする(図)。
この一連の実証実験の結果により、利用者は多様化するセキュリティ脅威に対して様々なセキュリティ製品を導入・運用する必要は無く、必要なタイミングで必要なセキュリティ機能をサービスとして利用することが可能になる。それにより、企業のセキュリティ投資に対する最適化といった効果が期待できる。