SDNで検疫ネットワークするってことか。

今年12月で25周年を迎えるIIJ。その中で培われたネットワーク運用の経験と同社エンジニアによる開発力という意味で興味深い内容だったのが、同社SDN（Software Defined Networking）開発部の白崎博生氏による「SDNで実現するネットワークセキュリティ」というセッション。いわば「L2（レイヤー2）のネットワークセグメントに頼らずに、ポリシーベースでセキュリティを守る」という発表だ。

“なしくずしBYOD”時代ではもう限界？ L2セグメントに頼るセキュリティ卒業のススメ【IIJ Technical WEEK 2017】 - INTERNET Watch

白崎氏によると、USBメモリやBYOD端末、VPN、野良クラウド（シャドーIT）など、マルウェアなどのさまざまな侵入経路に対応する必要がある現在、企業内とインターネットとの接続点におけるゲートウェイ型のネットワークセキュリティだけでは対応できなくなっているという。それに対する白崎氏の考えは、感染・侵入されることを前提に、それを早期発見して対処するというものだ。要素としては、1）影響範囲を小さくすること、2）早く発見すること、3）早く対処すること――の3つからなる。より具体的なアイデアとしては「マイクロセグメンテーションによって（各ユーザーの）通信範囲を制御する」ことだ。
　「マイクロセグメンテーションといっても、小さくすることが目的なのではなく、通信範囲を制御することが目的」と白崎氏は説明する。

“なしくずしBYOD”時代ではもう限界？ L2セグメントに頼るセキュリティ卒業のススメ【IIJ Technical WEEK 2017】 - INTERNET Watch

そこで白崎氏が「次世代セグメンテーション」として考えたのが、ユーザー基点のポリシーベースセグメンテーションだ。接続する相手を、アカウント認証やMAC認証、ロケーション認証などで認識し、そのユーザーノードのグループを定義する。このグループのポリシーに応じてセキュリティレベルを定義する。
　システムの名前は「FSEG（エフセグ）」。ちなみにこれは日本語の「防ぐ」が由来とのことだ。

“なしくずしBYOD”時代ではもう限界？ L2セグメントに頼るセキュリティ卒業のススメ【IIJ Technical WEEK 2017】 - INTERNET Watch