本調査では、それらのテク ノロジーの導入に対して障 壁となるものをサービス・
プロバイダに質問しました
(図47)。その回答のうち、
運用上の懸念が 53%で障壁 の ト ッ プ に 挙 げ ら れ て お り、コストが 45%、相互運 用 性 が 41%と 続 い て い ま す。そうした結果は2015年 度と類似しています。
これについては、有効 な現状打開策がそうし た主要な分野において 見いだされておらず、
SDN/NFV
の 導 入 がまだ主流になっていない といえます。
SDN/NFV テクノロジーに最も関心を寄せるネットワーク・ロケーションについては、データセンターが依然としてトップとなってい
ます(図48)。しかしながら、その割合は2015年度の75%から63%に低下しています。また、固定回線サービスへのSDN/NFV導入 に関心があるサービス・プロバイダにおいて、関心が大幅に高まっています。さらに、調査結果によると、サービス・プロバイダが
SDN/NFVテクノロジーを加速的に導入し、データセンター向けおよび仮想CPE向けの付加価値サービス(ファイアウォール、IPSな
ど)をサポートしていることが明確に示されています。
図48:SDN/NFVネットワーク・ドメイン
運用上の懸念 コスト
相互運用性 拡張性
ベンダー・サポート 安定性
性能上の懸念 セキュリティの懸念
業務サポート・システム(BSS)の統合 テレメトリ情報の取得
その他
データセンター・
インフラ
仮想CPE付加価値 サービス・インフラ
(ファイアウォール、IPS)
データセンター付加価値 サービス・インフラ
(ファイアウォール、IPS)
ネットワーク・インフラを 備えた固定回線サービス
モバイル・ネットワーク・
インフラ
図47:SDN/NFVの主要な障壁
図49:NFVテクノロジー
2016年度の調査においては、使用中の具体的な NFVオーケ ストレーション/管理テクノロジーについてサービス・プロバ イダに質問しました(図 49)。そこでは、オープン・ソース 製、ベンダー製、内製のさまざまなソリューションが活躍し ているようです。単一ソリューションと決めている回答者の 中では、OpenStack Heat、Cisco NSO、NETCONF/YANGが 上位の3つとなっています。
サービス・プロバイダに SDN のテクノロジーとコントロー ラーについて質問すると、OpenFlowが圧倒的な首位となり ました(図 50)。第 2 位は NETCONF/YANG、第 3 位は Juniper Contrailでした。
最後に、導入済みか導入予定があるサービス・チェイニング の仕組みをサービス・プロバイダに質問しました(図 51)。
その回答として、第1位にSDNコントローラー、第2位に
VXLAN、第3位にVLANが挙げられています。
サービス・チェイニングの仕組み
32%
マネージドSDNコントローラー
26%
VXLAN
21%
VLAN
14%
Networks Service Header(NSH)
14%
その他
図51:サービス・チェイニング
17%
15%
14%
13%
10%
5%
4%
2%
20%
0% 5% 10% 15% 20% 25% 30%
0%
30%
20%
10%
40%
50%
39%
18%
14%
8%
4%
14%
OpenStack Heat Cisco NSO NETCONF/YANG VMware vRealize OpenStack Tacker OpenConfig Cloudify Nokia CloudBand その他
図50:SDN テクノロジー
OpenFlow
NETCONF/YANG
ジュニパー
OpenDaylight
ONOS
Nokia Nuage
その他
組織の
セキュリティ
—
2016 年度においては、 BGP の認証、アウト オブバウンド( OOB )管理ネットワークの利 用、ネットワーク境界での違法トラフィック をブロックするための iACL の利用のすべて がサービス・プロバイダの回答者の間で減少 しています。しかしながら、スプーフィング 防止フィルターを導入しているサービス・プ ロバイダの回答者の割合は若干増加していま す。
回答者の 57% が DDoS 防御シミュレーショ ンを実施していると答えており、この割合は 2015 年度の 46% から増加し、過去 4 回の調 査で最高の水準と並んでいます。さらに好ま しいのは、少なくとも四半期ごとにインシデ ント対応の予行演習時間を設けている回答者 の割合が 38% になっていることです。
残念ながら、経路ハイジャックをモニタリン グしている回答者の割合は、 2015 年度の 54% から 29% に減少しています。グローバ ルな OPSEC グループへの参加についても大 幅に減少しており、過去 3 年間で最低の水準 となっています。
57%
2016 年度に DDoS 防御シミュレー ションを実施しているサービス・プ ロバイダ
38%
少なくとも四半期ごとにインシデン ト対応の予行演習の時間を設けてい るサービス・プロバイダ
2016 年度は、数人以上のセキュリティの専任担当者 を有しているサービス・プロバイダの回答者の割合は 87%にすぎず(図52)、2015年度の 95%から大幅な 落ち込みとなっています。好ましい傾向として、回答 者の25%が30人以上のチームを有していたことが挙 げられます。これに比べて、EGE の回答者では 15%
にすぎませんでした。
本調査では、このセクションにおいて、インフラ・セ キュリティのベスト・プラクティスについて広範な質 問をしています。結果は、サービス・プロバイダが多 様なレベルでベスト・プラクティスを実行しているこ とを示しています。2015 年度は、セキュリティ・イ ンフラのベスト・プラクティスを実施している回答者 が増加したことを報告しましたが、低下傾向に転じま した(図 53)。2015 年度の上位の手法である、BGP の認証、アウトオブバウンド(OOB)管理ネット ワークの利用、ネットワーク境界での違法トラフィッ ク を ブロ ック す るた め の iACL の 利 用 のす べて が 2016年度は後退しています。
好ましい傾向としては、スプーフィング防止フィルターの採用が増加し続けており、現在では半数近くがこ のベスト・プラクティスを実行しています。しかしながら、現在も依然として発生しているリフレクション 攻撃の数を考えると、このフィルターの大幅な増加が望まれます。ルートの明示的なフィルタリングなどの 手法についても明確に10%の上昇が見られます。
図53:セキュリティ・ベスト・プラクティス
35%
13%
2%
4%
10%
11%
25%
0% 10% 20% 30% 40% 50% 60% 70%
62%
58%
54%
52%
48%
46%
29%
25%
4%
20%
21%
38%
図52:セキュリティ専任担当者
BGP、IGPの認証(MD5、SHA-1)
顧客から通知されたルートの明示的なフィルタリング
ネットワーク・エッジでのiACL
アウトオブバウンド(OOB)管理ネットワークまたはデータ通信ネットワーク(DCN)の分離
ネットワーク・エッジおよび/またはデータセンターにおけるBCP38/BCP84スプーフィング防止
BGPピアから通知されたルートの明示的なフィルタリング
ユーザーのピア、トランジット、および/または顧客OPSECチームとの最新の連絡先の維持
経路ハイジャックのモニタリング
顧客プレフィックスのIRRルート登録
既知のボットネットのコマンド&コントロール・サーバー、マルウェア・ドロップ・サーバーなどのブロック
BGPピア向けのGTSM(一般的なTTLセキュリティの仕組み)
その他
セキュリティ 専任担当者
0
1~5
6~10
11~15
16~20
21~30
30~
DDoS攻撃に対処するには、適切な訓練と運用上の実 践が必要となります。攻撃シミュレーションによっ て、実際に攻撃の発生が避けられなくなった場合にお いて、運用者の効率が大幅に向上することが証明され ています。好ましい傾向として、スケジュールどおり に そう した テス トを行 って いる 組織 の割 合はほ ぼ 10%の増加であり、まったく行っていない組織は 8%
減少しています(図 54)。このことは、サービス・プ ロバイダがかつてないほど DDoSのインシデント対 応に真剣に取り組み、顧客のネットワークと資産を守 ろうとしていることを示しています。
結果として、グローバルなOPSECコミュニティへの 参加については、2015年度の41%からわずか26%へ と大幅に減少していることが明らかになっています。
これは非常に奇妙な傾向です。なぜなら、OPSEC コ ミュニティは 2015年度に発生した主な攻撃の一部に おいて、極めて有用であることを証明しているためで す。
リソース不足や、雇用と運用資金調達の難しさが、効 果的な運用セキュリティ(OPSEC)チームを設立 し、維持する上での最大の課題となっています(図 55)。そうした課題が OPSECコミュニティ支援活動 の減少の要因にもなっている可能性があります。
図54:DDoSシミュレーション
10%
6%
11%
10%
14%
29%
19%
0%
30%
20%
10%
40%
50%
50% 47% 46% 37% 31% 5%
21%
毎日
現在行っていない が、2017年度中に は実施する予定
行っていない
毎週
毎年
毎月
四半期ごと