Infoblox株式会社 システムズエンジニア・トレーナー 三好慶太氏

既報のとおり、「ネットワーク研究第一人者 東大 関谷准教授が語る!ネットワーク運用管理セミナー ~2013年にネットワーク管理者のやるべきアクションとは?~」が2月1日、東京・竹橋のマイナビルームにて開催された。

今回のセミナーの共同主催社であるInfobloxは、NY証券取引所に上場し、世界に6,100以上の顧客を有するグローバルカンパニーとして、ネットワーク管理や設定変更を自動で行うソリューション群を展開している。同社システムズエンジニア・トレーナー 三好慶太氏は、「MISSION : INFOBLOX ネットワークをコントロールせよ」と題し、ネットワーク管理者が気を配らなければならない障害要因に触れ、その要因別に対策が可能な最新ネットワーク管理ソリューションについて紹介した。

DNSを使って攻撃している新種マルウェアへの出口対策「Infoblox DNS Firewall」

まず三好氏が提示したのが、マルウェアによる攻撃についてのデータだ。2012年には3カ月平均で780万件の新しいマルウェアが確認されており、モバイル機器を通じた攻撃は10倍以上に増加している。また、54%が検知までに数カ月を要しており、92%が自社ではなく外部からの報告により発見されたものだったという。さらにここ1年の傾向として、新しいマルウェアにとってDNSがターゲットの通信経路となってきているというのだ。

そのような状況下でどのように対策を講じていけばよいのだろうか。そこで三好氏は、Infoblox から1月24日に発表された「Infoblox DNS Firewall」の機能とその有効性を提示した。「Infoblox DNS Firewall」は、DNSの処理要求の内容を精査し、ボットが悪意のあるサイトにアクセスしようとすると、セッションの停止や、警告を発するなどの出口対策を講じる。こうした危険性のあるドメインやサイトのリストは、Infobloxからほぼリアルタイムで配信されるため、ネットワークの保護が常に強化された状態にあるというのだ。

ネットワーク構成図もコンフィグ保存も自動化「NetMRIアプライアンス」

またInfobloxでは、デバイスのアクセスポリシー設定や管理を容易にする「NetMRIアプライアンス」の機能強化として、複数ベンダーのファイアーウォールにおいてアクセスコントロールリストを一括制御する「Infoblox Security Device Controller」オプションを提供した。これまで人海戦術で行われていたネットワークのセキュリティルールやアクセス変更の設計、変更を自動的にコントロールできるようにしているという。コマンドラインさえ書くことができれば、簡単にコンフィグを自動化でき、OSのアップグレードやパスワード変更などにも対応できる。いずれもネットワーク管理者がソフトウェア上で直感的に設定を行うことができるため、トラブルシューティングもより迅速に行うことが可能となった。

こうしたファイアーウォールについて、三好氏がさまざまなネットワーク管理者に対してヒアリングを行ったところ、多くが「予算がついているが、人員が不足している」、「複数のポイントに製品が設置され、ネットワークが複雑化している」、「ネットワークの高いサービスレベルが求められ、ダウン時に影響が大きくなってきている」と課題を吐露したという。そうした点では、複数のベンダーにおよぶデバイスを一括で管理できる「NetMRIアプライアンス」であれば、多くの要求を自動に処理し、円滑に運用することができる。

また、「NetMRIアプライアンス」は、現状のネットワークをスキャンし、L2、L3のトポロジーなど各種レイヤのトポロジーを直感的なユーザインタフェースで表示可能となっている。Infoblox 中村氏の発表にもあった「自社のネットワーク構成図がない」という課題に対し、一から人の手で書き起こすのは至難の業だ。しかし、「NetMRIアプライアンス」であれば、物理的にも概念としても管理が可能となる。

IPあるところにはDNSあり、遠隔管理型で小規模オフィスにも最適な「Trinzic100」

ネットワークの自動管理というと、複数のフロアや拠点にまたがった大規模なネットワーク管理を想像するが、実際のところはどのようなオフィスであってもその対象となるといってもいい。インターネットに接続する限り、外部への責任と社員の業務効率化を果たさなければならない。そのような状況下において、自動化によるヒューマンエラーの低減は不可欠である。ただし、エンジニアが少ない、コストが限られるなど規模に応じてInfobloxのセンターで管理をすることも可能だ。「Trinzic100」は、従来型のスペックを必要とせず、インターネットがとまった状態でクライアント端末やプリンタへIPアドレスを払い出すことができ、小規模拠点での利用に有効だ。三好氏は、「IPのあるところにはDNSあり」と小売業界や教育、医療現場などでの活用を提案した。