SDN/NFV

本調査では、それらのテク ノロジーの導入に対して障 壁となるものをサービス・

プロバイダに質問しました

（図47）。その回答のうち、

運用上の懸念が 53%で障壁 の ト ッ プ に 挙 げ ら れ て お り、コストが 45%、相互運 用 性 が 41%と 続 い て い ま す。そうした結果は2015年 度と類似しています。

これについては、有効 な現状打開策がそうし た主要な分野において 見いだされておらず、

SDN/NFV

の 導 入 がま

だ主流になっていない といえます。

SDN/NFV テクノロジーに最も関心を寄せるネットワーク・ロケーションについては、データセンターが依然としてトップとなってい

ます（図48）。しかしながら、その割合は2015年度の75%から63%に低下しています。また、固定回線サービスへのSDN/NFV導入 に関心があるサービス・プロバイダにおいて、関心が大幅に高まっています。さらに、調査結果によると、サービス・プロバイダが

SDN/NFVテクノロジーを加速的に導入し、データセンター向けおよび仮想CPE向けの付加価値サービス（ファイアウォール、IPSな

ど）をサポートしていることが明確に示されています。

図48：SDN/NFVネットワーク・ドメイン

運用上の懸念 コスト

相互運用性 拡張性

ベンダー・サポート 安定性

性能上の懸念 セキュリティの懸念

業務サポート・システム（BSS）の統合 テレメトリ情報の取得

その他

データセンター・

インフラ

仮想CPE付加価値 サービス・インフラ

（ファイアウォール、IPS）

データセンター付加価値 サービス・インフラ

（ファイアウォール、IPS）

ネットワーク・インフラを 備えた固定回線サービス

モバイル・ネットワーク・

インフラ

図47：SDN/NFVの主要な障壁

図49：NFVテクノロジー

2016年度の調査においては、使用中の具体的な NFVオーケ ストレーション/管理テクノロジーについてサービス・プロバ イダに質問しました（図 49）。そこでは、オープン・ソース 製、ベンダー製、内製のさまざまなソリューションが活躍し ているようです。単一ソリューションと決めている回答者の 中では、OpenStack Heat、Cisco NSO、NETCONF/YANGが 上位の3つとなっています。

サービス・プロバイダに SDN のテクノロジーとコントロー ラーについて質問すると、OpenFlowが圧倒的な首位となり ました（図 50）。第 2 位は NETCONF/YANG、第 3 位は Juniper Contrailでした。

最後に、導入済みか導入予定があるサービス・チェイニング の仕組みをサービス・プロバイダに質問しました（図 51）。

その回答として、第1位にSDNコントローラー、第2位に

VXLAN、第3位にVLANが挙げられています。

サービス・チェイニングの仕組み

32%

マネージドSDNコントローラー

26%

VXLAN

21%

VLAN

14%

Networks Service Header（NSH）

14%

その他

図51：サービス・チェイニング

17%

15%

14%

13%

10%

5%

4%

2%

20%

0% 5% 10% 15% 20% 25% 30%

0%

30%

20%

10%

40%

50%

39%

18%

14%

8%

4%

14%

OpenStack Heat Cisco NSO NETCONF/YANG VMware vRealize OpenStack Tacker OpenConfig Cloudify Nokia CloudBand その他

図50：SDN テクノロジー

 ^OpenFlow

 NETCONF/YANG

 ^{ジュニパー}

 OpenDaylight

 ONOS

 Nokia Nuage

 その他

組織の

セキュリティ

—

2016 年度においては、 BGP の認証、アウト オブバウンド（ OOB ）管理ネットワークの利 用、ネットワーク境界での違法トラフィック をブロックするための iACL の利用のすべて がサービス・プロバイダの回答者の間で減少 しています。しかしながら、スプーフィング 防止フィルターを導入しているサービス・プ ロバイダの回答者の割合は若干増加していま す。

回答者の 57% が DDoS 防御シミュレーショ ンを実施していると答えており、この割合は 2015 年度の 46% から増加し、過去 4 回の調 査で最高の水準と並んでいます。さらに好ま しいのは、少なくとも四半期ごとにインシデ ント対応の予行演習時間を設けている回答者 の割合が 38% になっていることです。

残念ながら、経路ハイジャックをモニタリン グしている回答者の割合は、 2015 年度の 54% から 29% に減少しています。グローバ ルな OPSEC グループへの参加についても大 幅に減少しており、過去 3 年間で最低の水準 となっています。

57%

2016 年度に DDoS 防御シミュレー ションを実施しているサービス・プ ロバイダ

38%

少なくとも四半期ごとにインシデン ト対応の予行演習の時間を設けてい るサービス・プロバイダ

2016 年度は、数人以上のセキュリティの専任担当者 を有しているサービス・プロバイダの回答者の割合は 87%にすぎず（図52）、2015年度の 95%から大幅な 落ち込みとなっています。好ましい傾向として、回答 者の25%が30人以上のチームを有していたことが挙 げられます。これに比べて、EGE の回答者では 15%

にすぎませんでした。

本調査では、このセクションにおいて、インフラ・セ キュリティのベスト・プラクティスについて広範な質 問をしています。結果は、サービス・プロバイダが多 様なレベルでベスト・プラクティスを実行しているこ とを示しています。2015 年度は、セキュリティ・イ ンフラのベスト・プラクティスを実施している回答者 が増加したことを報告しましたが、低下傾向に転じま した（図 53）。2015 年度の上位の手法である、BGP の認証、アウトオブバウンド（OOB）管理ネット ワークの利用、ネットワーク境界での違法トラフィッ ク を ブロ ック す るた め の iACL の 利 用 のす べて が 2016年度は後退しています。

好ましい傾向としては、スプーフィング防止フィルターの採用が増加し続けており、現在では半数近くがこ のベスト・プラクティスを実行しています。しかしながら、現在も依然として発生しているリフレクション 攻撃の数を考えると、このフィルターの大幅な増加が望まれます。ルートの明示的なフィルタリングなどの 手法についても明確に10%の上昇が見られます。

図53：セキュリティ・ベスト・プラクティス

35%

13%

2%

4%

10%

11%

25%

0% 10% 20% 30% 40% 50% 60% 70%

62%

58%

54%

52%

48%

46%

29%

25%

4%

20%

21%

38%

図52：セキュリティ専任担当者

BGP、IGPの認証（MD5、SHA-1）

顧客から通知されたルートの明示的なフィルタリング

ネットワーク・エッジでのiACL

アウトオブバウンド（OOB）管理ネットワークまたはデータ通信ネットワーク（DCN）の分離

ネットワーク・エッジおよび/またはデータセンターにおけるBCP38/BCP84スプーフィング防止

BGPピアから通知されたルートの明示的なフィルタリング

ユーザーのピア、トランジット、および/または顧客OPSECチームとの最新の連絡先の維持

経路ハイジャックのモニタリング

顧客プレフィックスのIRRルート登録

既知のボットネットのコマンド＆コントロール・サーバー、マルウェア・ドロップ・サーバーなどのブロック

BGPピア向けのGTSM（一般的なTTLセキュリティの仕組み）

その他

セキュリティ 専任担当者

 ⁰

 ^1～5

 6～10

 11～15

 16～20

 21～30

 30～

DDoS攻撃に対処するには、適切な訓練と運用上の実 践が必要となります。攻撃シミュレーションによっ て、実際に攻撃の発生が避けられなくなった場合にお いて、運用者の効率が大幅に向上することが証明され ています。好ましい傾向として、スケジュールどおり に そう した テス トを行 って いる 組織 の割 合はほ ぼ 10%の増加であり、まったく行っていない組織は 8%

減少しています（図 54）。このことは、サービス・プ ロバイダがかつてないほど DDoSのインシデント対 応に真剣に取り組み、顧客のネットワークと資産を守 ろうとしていることを示しています。

結果として、グローバルなOPSECコミュニティへの 参加については、2015年度の41%からわずか26%へ と大幅に減少していることが明らかになっています。

これは非常に奇妙な傾向です。なぜなら、OPSEC コ ミュニティは 2015年度に発生した主な攻撃の一部に おいて、極めて有用であることを証明しているためで す。

リソース不足や、雇用と運用資金調達の難しさが、効 果的な運用セキュリティ（OPSEC）チームを設立 し、維持する上での最大の課題となっています（図 55）。そうした課題が OPSECコミュニティ支援活動 の減少の要因にもなっている可能性があります。

図54：DDoSシミュレーション

10%

6%

11%

10%

14%

29%

19%

0%

30%

20%

10%

40%

50%

50% 47% 46% 37% 31% 5%

21%

毎日

現在行っていない が、2017年度中に は実施する予定

行っていない

毎週

毎年

毎月

四半期ごと

DDoS

ドキュメント内 Arbor Networks について NETSCOUT のセキュリティ部門である Arbor Networks は インターネットのインフラやエコシステムを保護するための活動を行っています 2000 年に設立された Arbor Networks では そうした理念が現在の業務にも受け継がれています (ページ 57-62)