セキュリティだけではない ネットワーク環境の見直しが必要なワケ Part2

企業がDXを推進するに伴って、ネットワーク環境の見直しが迫られている。マルチクラウド環境の拡大や、場所に縛られない働き方の普及によって、これまでイントラネットが中心であったオフィスのネットワーク環境では、ビジネススピードに追いつけなくなっているのだ。加えて、製造業などでDX化が進んだことにより、これまで情報システム部門の管轄外となっていた産業現場のネットワーク環境の管理や見直しが迫られている。その動向についてNECに聞いた。

　企業の中に存在する二つのネットワーク環境について、NEC ネットワークSIサービス統括部 シニアプロフェッショナル 宮永直樹氏は「企業ネットワークに求められる要件が二極化しています」と指摘する。具体的には、オフィスなどでは柔軟性や拡張性が、産業現場では信頼性や安定性が重視される傾向が強まっているのだ。

　まずはオフィスの変化から見ていこう。オフィスでは、テレワークや働き方改革の推進によって、スマートデバイスの活用やWeb会議が普及した。一方で、こうした環境の変化によってこれまでイントラネットワークが中心だったオフィスのネットワーク環境に不満が生じている。

「テレワークが普及し、在宅勤務で働く人も増えました。それにより、会社よりも自宅の方がネットワーク環境が良い、快適だと感じる人が増えているようです。新型コロナの感染症分類が5類になり、オフィスに人が戻ってきたことによって会社のネットワークには負荷がかかっています。特に会議室のような、人が多く集まるような場所だとその傾向が強く、当社の情報システム部門にも頻繁にクレームが来ているようです」と宮永氏は語る。

　業務がクラウドに移行したり、リモートワークが普及したりする中で、企業の業務がクラウドやモバイル中心に変わりつつある。こうした環境の中、イントラネット中心のこれまでの企業ネットワークは、帯域不足やファイアウォールがボトルネックとなり、業務にストレスが生じている。それ故に、昨今では境界型防御からゼロトラストのセキュリティ対策へと考え方がシフトしてきている。

　そのゼロトラストセキュリティを実現するソリューションとして、NECではSASE（Secure Access Service Edge）やSD-WAN（Software Defined Networking）を提案している。一方で、SASEやSD-WANの検討は高度なセキュリティやネットワークの知見が必要となる。ユーザー企業ごとのICT環境に応じたソリューション選択が必要となる中で、ユーザー自身が提案依頼書（RFP）を作成することが難しくなっているのだ。NECではそうしたニーズに応えるため、ユーザー企業の環境を整理しながらネットワークの提案を行うコンサルティングも行っているという。

「オフィス環境自体の見直しも求められています。オフィスネットワークの無線化が進む一方で、自宅のネットワーク環境と比べて快適性は劣ります。ネットワークトラブルや混雑などの影響でその快適性が失われた際、従来であれば情報システム部門の担当者がフロアのネットワーク状況を確認して対処していましたが、従業員がフロアごとのネットワーク混雑状況を確認できるようにし、自由に移動できるようにしている企業などもあります。そうした可視化システムの導入と併せて、オフィスのフリーアドレス化といった見直しも、これからの企業ITインフラには必要となりそうです」と宮永氏。

　一方で、工場や医療、建築などの産業現場では、求められるネットワークの要件が異なる。AVG（無人搬送車）やフォークリフト、クレーンなどのインテリジェント化や、OT（Operational Technology）のデータ活用といったDX化が進む産業現場では、信頼性や安全性、低遅延やネットワークの揺らぎの小ささなどが求められている。これらのDX化にはネットワークの無線化が不可欠だが、課題もある。

「多くの工場は非常に広く、天井が高いです。そうしたエリアでネットワークを無線化する場合、Wi-Fiではうまくいかないケースが少なくありません。またWi-Fiはネットワークの揺らぎがあり、安定稼働が求められるロボットの操作には不向きです」と課題を語るのは、NEC デジタルネットワーク統括部 上席テクノロジー・エバンジェリスト 藤本幸一郎氏。

　そこで現在、工場などの産業現場でのネットワークとして選ばれているのが、ローカル5Gだ。高速、低遅延、多数同時接続といった特長を持つローカル5Gは、藤本氏が指摘したようなWi-Fiの課題をクリアし、産業現場の無線化を実現するのに役立つ。

「当社では数年前から実証を始めており、今年の夏ごろからローカル5Gを使用し、人が運んでいた部品をAMR（自律走行搬送ロボット）が運ぶ環境の構築を進めています。こうした工場の環境は、これからトレンドになっていくでしょう」と藤本氏は指摘する。その背景にあるのは働き方改革、そして人手不足だ。特に物流業は2024年4月から適用される「働き方改革関連法」に対応するため、労働環境の改善が求められている。ドライバーのみならず、物流センターといった拠点の改革も必要であり、そうした現場にロボットやローカル5Gを組み合わせた倉庫の自動化が有効に働くだろう。

　藤本氏は「ローカル5Gの導入は、ずっと右肩上がりで伸びています。導入件数が増えれば価格がこなれてきますので、今後指数関数的に伸びる可能性が高いでしょう。また、産業現場だけでなく、オフィスでの導入も増えてきています。当社のオフィスフロアには一部ローカル5Gを導入していますが、Wi-Fiが不安定なときでも非常に安定して快適に使えると好評です」と語る。

　将来的には、Wi-Fiやローカル5G、キャリア5Gが混在したワークライフ空間で、利用者はそれぞれのニーズに応じたネットワークを意識せずに使える環境になっていくことが望ましいと藤本氏。一方で、さまざまな無線通信が混在する環境下は、情報システム管理者にとって管理の負担が大きいだろう。「これまでネットワーク管理はSDN（Software Defined Networking）がメインで利用されていましたが、当社はこの枠組みにプラスして、設計構築の自動化を含めてネットワーク全体のオーケストレーションをサポートしていきます。こうした一元管理の方向性を『マネージドネットワークサービス』としており、現在一部試験提供を行っています。多様化するネットワークアクセスの一元的な可視化やオーケストレーションを今後も進めていきます」と藤本氏は語った。

クラウドサービスの増加やハイブリッドワークなどの働き方の多様化によって、ネットワークとセキュリティに求められる要件は大きく変化している。このような変化する時代に対応していくための新たなアプローチとして、SASE（Secure Access Service Edge）がある。そんなSASEを提供するのが、世界的なサイバーセキュリティ企業として150カ国以上に顧客を持つパロアルトネットワークスだ。

　働き方改革やコロナ禍を契機に、クラウドサービスやテレワークの普及が一気に進んだ。オフィス以外の場所で働く機会が増えたことで求められるのは、何といってもネットワークの快適性だろう。

　例えば、これまで対面で行われてきた会議は、Web会議システムを活用したオンラインでの開催が頻繁に実施されるようになった。場所を問わずどこからでも会議に参加できるといったメリットがある一方で、Web会議中に「音声が途切れてしまって聞こえない」「会話の途中で相手の画面が固まってしまった」といったネットワークの問題が発生してしまえば、業務に支障を来す恐れもある。「オフィスでネットワークの問題が発生した場合は、企業の情報システム部門が対応するため、ほかの従業員は対応を取る必要はないでしょう。しかし、通信インフラが整っているオフィスと違い、従業員の自宅は必ずしも通信条件が良いとは限りません。個々で契約しているISP（Internet Service Provider）も異なるため、ネットワークの問題が発生した際に、情報システム部門に問い合わせをしても、カバーしきれないでしょう。ネットワークの問題で業務が止まってしまえば、生産性の低下につながってしまいます」と話すのは、パロアルトネットワークス ビジネスプリンシパル,Prisma SASE 和田一寿氏だ。

　さらに、クラウドサービスの利用が加速したことによってセキュリティリスクも高まっているという。「近年SaaSの利用が増えており、データが各SaaSに点在している状況です。加えてサイバー攻撃が増加傾向にあり、企業は、いかにして大事なデータを守っていくかが重要な課題となっています」（和田氏）

　多様化するネットワーク環境の中で、ネットワークとセキュリティの両面からしっかりと対策を講じていかなければならない。そこで、パロアルトネットワークスが提供するのが「Prisma SASE」である。

　Prisma SASEは、「ZTNA（ゼロトラストネットワークアクセス）」「Cloud SWG（クラウドセキュアウェブゲートウェイ）」「NG CASB（次世代CASB）」「SD-WAN」「ADEM（自律型デジタルエクスペリエンス管理）」といったさまざまな機能をまとめて提供するクラウドサービスだ。

　ZTNAは、定義されたアクセス制御ポリシーに基づいてアプリケーションやサービスにセキュアなリモートアクセスを実現できる。ユーザーがアプリケーションにアクセスする際には、ユーザーの属性やデバイスの状態などに基づいて、信頼度の動的な判断を行う。信頼度が低いユーザーに対しては、厳格なアクセス制御を適用し、セキュリティリスクを低減する。

　Cloud SWGは、Webベースの攻撃を阻止し、既知／未知の脅威を排除するものだ。アプリケーション、ユーザー、コンテンツ、デバイスの安全な利用を実現する。

　NG CASB（次世代CASB）は、全アプリケーションを自動で把握してセキュリティを確保する。設定ミスに起因する侵害とデータ損失のリスクを解消したり、機密データを既知／未知の脅威から的確に保護したりすることが可能だ。

　SD-WANは、複数の物理回線のグループ化を可能にする仮想WANアーキテクチャだ。アプリケーションの優先順位といったビジネス要件および物理回線の正常性に基づいて、トラフィックを管理する。

　ADEMは、組織外でのサービス停止からユーザーデバイスの一般的な問題まで、チームとエンドユーザーの両方を支援する。アプリケーショントラフィックのパフォーマンスにトラブルが生じ、ユーザーエクスペリエンスが悪化した場合などに、どこにその原因があるのか自動的に把握を行う。その上で、ユーザーに通知し、顧客による自己解決を促したり、アプリケーション側のトラブルを記録したりする。

　前述した各機能によって、アプリケーションの可視化・識別、ゼロデイ攻撃やマルウェア対策、サンドボックス機能などの多層防御の仕組みを備え、既知の脅威だけでなく、未知の脅威も高精度に検出・防御できる。モバイルからオフィスまで双方を含むネットワーク環境の強化につなげられる。「Prisma SASEは、在宅やオフィスなどあらゆる経路からのアクセスをセキュアに行える環境を提供します。当社が培ってきたセキュリティに関する技術を余すことなく盛り込んでいます」（和田氏）

　Prisma SASEのダッシュボードでは、組織全体のパフォーマンス状況から個々のユーザーの状況までを視覚的に確認できる。問題が生じた際の原因特定を迅速に行えるようになる。

「当社はAIの活用にも力を入れています。AIによる脅威の検知では、日々27万5,000件を超える新たな攻撃パターンが発見されています。Prisma SASEだけではなく、ほかのコンポーネント製品にも共通して言えることですが、脅威から企業を守る体制をしっかりと整えています。またAIを利用してアプリケーションのデータを管理・分析し、IT運用の管理を簡素化するとともに問題を解決する『AIOps』による運用支援にも注力しています。運用管理に関する負荷の軽減だけではなく、ユーザーのシステム利用に関わる快適性の担保にもつながってきます」と和田氏は話す。

　多様な働き方に対応していくためには、「ネットワークのみを対策する」「セキュリティのみを対策する」といったように個々に対策を行っていくのではなく、両面からのアプローチが必要となる。ネットワークとセキュリティの両面に対応するPrisma SASEによって、効率的かつセキュアなネットワーク環境を実現できる。

“オープンでハード・ソフトが分離されたネットワークインフラ”の実現を目指すNTT。それを実現するべく研究・開発を進め、2023年3月31日からNTTアドバンステクノロジ（以下、NTT-AT）を通じて提供を開始したのが、ホワイトボックス装置対応のネットワークOS「Beluganos」（ベルガノス）である。Beluganosは、ネットワークにどのような変革をもたらすのだろうか。

　ネットワークの高機能化・高速化によって、データセンターにもネットワークインフラの変革が求められている。現在、データセンターで導入されているネットワーク装置は、各アプライアンスベンダーがハードウェアとソフトウェアを一体化して提供する垂直統合型が多い。垂直統合型のネットワーク装置は、導入が容易であるものの、導入後の運用・保守、機能追加や調達のリードタイム、バージョンアップの対応などにおいて提供元のアプライアンスベンダーに依存せざるを得ない状態となる「ベンダーロックイン」に陥りやすい。機器を新たに追加で導入する場合などには、アプライアンスベンダーが提供する限られた製品ラインアップの中から選択しなければならず、投資効率の面での課題も発生していた。

　こうした垂直統合型のネットワーク装置の課題を解消するのが「ホワイトボックス装置」である。ホワイトボックス装置は、ネットワーク装置を動作させるための基本機能を担うネットワークOSを組み込まずに、ハードウェアのみで提供される。「特定のアプライアンスベンダーに依存することなく、環境や用途に応じて必要な機能・性能を持つネットワークOSとハードウェアをそれぞれ組み合わせられます。垂直統合型のネットワーク装置では、別のOSの機能を使いたい場合は新たにネットワーク装置を買い直す必要がありましたが、ホワイトボックス装置であれば、ハードウェアを継続して活用しながら中身だけを入れ替えられます。もちろん、ハードウェアを入れ替えてネットワークOSを継続して使うことも可能です」とNTTネットワークイノベーションセンタ 光トランスポートシステムプロジェクト プロジェクトマネージャ 担当部長 大西浩行氏はホワイトボックス装置の利点を話す。

　そんなホワイトボックス装置に対応するネットワークOSとして、NTTが研究・開発を行い、NTT-ATを通じて提供を開始したのが「Beluganos」だ。Beluganosという製品名は、白イルカの“Beluga”とネットワークOSの“nos"を掛け合わせた造語だという。「ホワイトボックスという単語から白いものを想起させる白イルカを選定しました。ホワイトボックスは安価でネットワーク装置の中では小型サイズですが、大容量の通信をコントロールできるという魅力があります。見た目は可愛らしいけれど、大きな身体を持つ白イルカを連想し、Beluganosと名付けられました」（大西氏）

　Beluganosは、NTTが研究・開発してきた技術をベースに、IP Infusionの技術を組み合わせて完成させたネットワークOSだ。ホワイトボックス装置にBeluganosをインストールすることで、L2／L3レイヤーでの転送機能を持つルーターやネットワーク装置として動作する。手間のかかるIPアドレス設計が不要で、拠点間でのVMマイグレーションが可能だ。400Gの帯域に対応し、データセンター間のネットワークからキャリアネットワークまで、高速通信をサポートする。

　さらに、垂直統合型のアプライアンスベンダーのネットワーク装置と同等の品質を実現しており、通信パスの設定や切り替え、複数のユーザー収容時の再起動なども高速に行える。大西氏は「Beluganosは、保守性を担保していることも特長です。同一のUIで異なる機種やベンダーの装置を制御できます。お客さまの環境ごとの通信経路を正確に把握可能で、トラブルへの対応も迅速に行えます。NTTグループが今まで培ってきたノウハウを基に運用性にも力を入れており、ネットワーク通信が止まっていないかといった疎通性を検査する機能なども備えています。これはほかのネットワークOSにはないBeluganos独自の機能です」と特長をアピールする。

　Beluganosのユースケースとして、NTT-ATではデータセンターでの活用を挙げている。ホワイトボックス装置とBeluganosの組み合わせで導入することで、柔軟なネットワークインフラ環境を容易に構築できる。

　前述したネットワーク障害への迅速な対応を支援する保守性や運用性、疎通性の監視機能などによって、データセンター事業者の保守の高度化、運用品質の向上を実現するという。事業者の環境に合わせたホワイトボックスを選定できるため、コスト面でのメリットから採用されているケースもある。「NTT コミュニケーションズでは、ホワイトボックス装置とBeluganosを組み合わせて、商用ネットワーク基盤に導入し、実際に運用を始めています。運用開始後も継続的なフィードバックを行っており、Beluganosの品質向上にもつなげています」とNTT-AT IOWNイノベーション事業本部 ネットワーク高度化ビジネスユニット ビジネスユニット長 小川光康氏は説明する。

　今後のBeluganosの展開について「Beluganosの提供を開始した当初は、データセンター事業者を販売ターゲットに展開していましたが、今後は通信事業者など幅広い業界に提案を広げていきたいと考えています。既設のネットワーク装置のリプレース需要などでホワイトボックス装置を検討したいといったお客さまも増えてきておりますので、Beluganos販売拡大に向けてさらに力を入れていきます。加えて、Beluganosの機能強化にも注力していく予定です。ホワイトボックスを入れたが故に、ネットワークの運用が複雑になってしまっては本末転倒ですので、NTTでは、『ネットワークコントローラー』という運用を楽にするソリューションの研究開発を現在行っています。より多くのお客さまにBeluganosを導入していただけるようなビジネスを展開していきます」と小川氏は意気込む。

　NTTグループでは、光を中心とした革新的技術を活用し、高速大容量通信・超低消費電力なネットワーク・情報処理基盤を目指す「IOWN（Innovative Optical and Wireless Network）構想」を提唱している。BeluganosはIOWN構想を実現するための製品の一つだという。これからもホワイトボックス装置の活用やパートナーとの共創などを通じ、オープンイノベーションを推進し、自らのネットワークを変革する活動と顧客のネットワークの高度化に取り組む考えだ。