ネットワークを可視化するサンドバインのPacketLogicシリーズは、オペレーターだけでなくさまざまな企業のネットワークの価値を向上します。サンドバインの小林由佳理と宮村元気が、エンタープライズ市場におけるPacketLogicのユースケースをご紹介します。

▼左：サンドバイン　チャネルセールスマネージャー　小林　由佳理　／右：同　東アジア SEディレクター　宮村　元気

小林：日本ではオペレーター様を中心にご利用いただいているサンドバインの製品群ですが、グローバルでは大企業、政府、教育機関、金融、ショッピングモールや空港など、エンタープライズのお客様1000社以上にご利用いただいています。今や、ネットワークのQOSを上げるためのアプリケーションレベルでのトラフィックコントロールやセキュリティは、全ての組織にとって重要な課題です。分析、トラフィック管理、ポリシー策定、課金などの分野で、さまざまな組織がサンドバインのソリューションを導入しています。

エンタープライズ向けに導入されているのも、通信事業者向けに導入されている3つのPacketLogicシリーズ、すなわち「PRE（PacketLogic Realtime Enforcement）」「PSM（PacketLogic Subscriber Manager）」、「PIC（PacketLogic Intelligence Center）」です。

組織内ネットワークでトラフィックが集約される場所にPREを配置し、IPアドレス単位でトラフィックを管理します。PSMが認証サーバーと連携することで、加入者とIPアドレスを紐づけ、どの加入者がどこで何をしていたのかをPICに蓄積し、レポートします。もちろんすべてを一度に導入する必要はなく、IPアドレス単位での制御・管理ツールとしてPREだけを導入して頂いている事例も多数ございます。

従来はアプライアンスモデルによる提供がメインでしたが、仮想化モデルプラットフォームの提供も開始しております。仮想化にまだ抵抗があるお客様も多い中、サンドバインでは、アプライアンスモデルと仮想化モデルで全く同じ機能を提供しております。また仮想化モデルではライセンスインストールだけで動作可能で、コストも削減でき、リードタイムアプライアンスと比較し短時間での提供が可能です。ハードウェア故障の問題も減少し多くのメリットをご提供する事で商用環境での実績も多数あり、安心してご利用いただけます。

また仮想での導入は構成面でも多くのメリットがございます。仮想化モデルでは、機能ごとにサーバーを分けたり、1台の汎用サーバー上ですべての機能を実現したり、U-PlaneとC-Planeそれぞれにサーバーを分けるなど、自由度の高い構成が可能になります。次のステップとしてクラウド上での展開も考えており、検証を進めています。クラウドで提供できるようになれば、グローバルでの一元管理にも対応できるようになります。

お客様の環境、ご予算、現状にフィットしたソリューションを提供できる事も弊社の強みとなっております。

エンタープライズでは、簡易DPIとしてアプリケーションの識別に対するニーズが高くなっています。サンドバインのソリューションは、暗号化されたトラフィックからもシグニチャにより高い精度でアプリケーションを識別でき、更に加入者情報、加入サービスプラン、ネットワーク、そしてアプリケーションをマッピングすることで、きめ細かな可視化や制御が可能になります。

TLS1.3でもサービスを識別可能

宮村：暗号化といえば、現在使用されているTLS1.2ではヘッダー情報を識別できますが、TLS1.3になるとIPアドレス以外のヘッダー情報は見えなくなります。TLS1.3移行によりDPIでは多くの識別が不可能になるのではないかと心配されていますが、サンドバインでは次を見据えた技術開発に日々取り組んでおります。

具体的には、RAHE（Rapidly Adaptable Heuristics Engines）というバイナリーコードディテクターを使用します。IPアドレスやホスト名、サービスなどのパケット内キーワードを読み取るのではなく、パケットの動きを基にサービスを識別します。

また、メトリクスフローは、サービスをより詳細に、トラフィックの種類まで識別します。たとえばLINEであれば、テキスト、ボイス、ビデオなど複数の実サービスを含みます。テキストであれば遅延は問題になりませんが、ビデオは低遅延で送らなくてはいけません。また、エンタープライズであればセキュリティポリシーによってビデオは社内から送信できないようにするなどの制御が必要になることもあります。これらを識別することで、細分化された的確なトラフィックコントロールが可能になります。

これらは、暗号化されていないパケットであればヘッダーを見ることで容易に識別できますが、最近は隠されており識別が難しくなっております。可視化を謳うソリューションが暗号化により“可視化が出来ない“という現状やお客様の懸念が多くある中、サンドバインは独自のアルゴリズムで日々対応に努めております。

またサンドバインのソリューションは、外部連携で他の装置と接続することにより、さまざまな分析や制御が可能になります。

見えないことには対処できない

小林：お客様が抱えている問題は、「ネットワークが遅い」「パケットが詰まる」「エラーが出る」「苦情が来る」といった形をとりますが、その背景には必ず原因があります。問題を解決するためには、まず、原因を可視化しなくてはいけません。見えないことには対処できないからです。サンドバインのソリューションは、「ネットワークの今と過去」を見える化します。現状を可視化する事で既知の事象に対応し、併せてヒストリカルに可視化を行う事でアプリケーションのトレンド察知や障害検知など未来の事象へも対応が可能となります。

“今”を可視化

小林：今のネットワークの状態を見るために、トラフィックの種類、コネクション数、ディレイやパケットのドロップ率などの品質をセッション単位でドリルダウンして確認できます。APIを利用して、企業の情報システム上で、クライアントアドレスレベルでの通信の状態を、人間に分かりやすくサービス名称で出力できます。

苦情対応が必要であれば、ユーザー単位で、通信の相手先とセッションの種類とスループットを確認できます。グループ化もできるので、部署単位での可視化やドリルダウンも可能です。シェイピングやフィルタリングによるトラフィックマネジメントも可能になります。不適切なサイトへのアクセスは、カテゴリーもしくはページごとに遮断するか警告を出すかなどきめ細かな制御が可能です。

ヒストリカルな可視化

宮村：これらの情報を集計して、トレンドを見ることができます。問題が発生しているのはいつなのか、パターンを知ることができます。よくあるのが、「ネットワークが遅い」と苦情が来るのは特定の曜日で、その日は夜間バッチがスケジュールされていた、といったケースです。時間帯別に利用のパターンを知ることで、どこで何が起こっているかを可視化します。

こうした情報を知った上で、問題を解決するための投資の意思決定をします。ネットワークが遅いからといって単純に帯域を増やすのではなく、特定の種類のトラフィックをシェイピングしたり、夜間バッチのトラフィックは優先順位を下げるといったソリューションを見つけることができます。将来的にはこうした意思決定も、AIによる支援ができれば良いと考えています。

感染した「後」をどう守るか

宮村：最近は標的型攻撃でフィッシングサイトに誘導されてユーザーがマルウェアをダウンロードしてしまうようなケースや、メールで送られてきたファイルを開いてしまい、マルウェアに感染するケースが増えています。シグニチャによるフィルタリングをしようにも、特定組織を狙い撃ちするようなフィッシングメールでは、うまく機能できないこともあります。

マルウェア感染で起こるのは、データが漏えいするか、あるいはDDoS攻撃を行うボットネットの一部に組み込まれてしまうことです。感染しないように守るのはセキュリティ製品の役割で、感染したあとトラフィックを外に出さないようにすることがサンドバイン製品の役割です。

サンドバインは、OSの種類やデバイスの種類によって、ふるまいのパターンを解析します。
例えば、プリンターがヤフーを見に行くようなことはないですし、URLデータベースに登録されたC&Cサーバーなどの怪しいサイトと通信していた場合は感染の可能性が高いとして挙動をブロックします。ポート番号とIPアドレスだけでブロックするのではなく、デバイスの種類を識別して不要な通信を止めたり、ユーザーの部署によって権限を変えて通信を止めたりといった細かい制御が可能になります。これらの処理を、全て1つの製品でできるのが、サンドバインの特徴です。

小林：可視化、制御、分析という3つをループさせる事で、お客様のネットワークを価値づけ、様々なアクションが可能となるのです。

さまざまなユースケース

小林：サンドバイン製品が可能にする、大学、法人、金融機関、Wi-Fi事業者、官公庁のユースケースをご紹介します。

■大学

大学でのユースケースを2つ紹介します。1つは、校内トラフィックが増加することで遅延が発生し、苦情が多発したことを、帯域拡張やルーターなどの周辺機器購入以外の方法で解決したというものです。PREで調べてみたところ、トラフィックの9割が特定のパワーユーザーによるものでした。そこで、PSMと連携して全員に公平に帯域を割り当て、ヘビーユーザーの学生には追加料金支払いによる「ターボモード」で高速通信を利用できるような設定をしたところ、ヘビーユーザーの学生は自らターボモードを選択して料金を支払うようになりました。苦情は90％削減でき、新たにネットワークを収益化できました。

もう1つのユースケースは、P2Pトラフィックや動画アクセスで帯域が占領され、姉妹校へのビデオ授業や講義配信に遅延が生じていたというものです。講義配信やビデオ授業に対して優先度を上げ、SkypeやYoutubeの優先度を下げることで、円滑に運用できるようになりました。

■法人

社内でのポルノ閲覧禁止やアプリケーションのポリシー制御のために、1億件以上のURLデータベースを読み込み、曜日、個人、時間、部署などごとに個別フィルタの詳細設定が可能です。これを応用することで、店舗や商業施設で暴力的な動画は見せない、などの制御が可能になります。

また、外部のセキュリティ装置と連動し、マルウェアと疑わしいものだけをセキュリティ装置で処理するようにすることで効率的な検知が可能になり、セキュリティ装置導入数を削減することができました。

■金融

このユースケースでは2つの課題がありました。まず1つは、法取引時の不正防止のため、ネットワークからチャットプロトコルを排除しなくてはいけなかったということです。これは、法律上定められており厳守が必要でした。もう1つは、市場動向や調査機関のレポートをタイムリーに受け取りたいということでした。

日々進化するチャットプロトコルを確実に排除するため、弊社のウィークリーでのシグニチャ更新が導入への大きな評価ポイントとなりました。また、確実にレポートを受け取り、遅延なく取引を行うために、リアルタイムのモニタリングと重要なトラフィックを優先し、不要な通信を抑制するトラフィック制御を行いました。

■Wi-Fi事業者

空港とスタジアム、2つのWi-Fi事業者の事例を紹介します。世界各地の空港でWi-Fiサービスを提供するBoingoでは、無料プラン（広告ビデオを視聴すると3時間Wi-Fiが利用できる）と有料プラン（高速と中速の2種類）を容易して、提携会社の会員にプランにあわせたサービスを提供しています。特徴的なのは、仮想化PREとAWSにPSM、PICを利用することで、スピーディな展開に成功したことです。位置情報と組み合わせて、クーポンやイベント情報などの広告をWi-Fiで配信することもできます。

米国のTier 1通信事業者が提供するスタジアムWi-Fiは、観客へのサービスだけでなく、スコアボードの表示管理などにも活用されます。トラフィック制御により重要なトラフィックを遅延させずに通せます。座席についても場所によって帯域をコントロールでいるので、例えばメディア席は帯域を広くするなどの対応ができます。

■官公庁（訪日外国人向けサービス）

最後にご紹介するのは、PacketLogicシリーズのさまざまな機能を利用して可能になる訪日外国人向けサービスです。

PSMの「誰がどこにいるのか」ロケーションが見える機能を利用して、場所に応じた観光案内サービスが提供できます。さらに、ロケーション情報＋加入者情報（国籍など）に加えて、どのようなアプリケーションを使っていたか、デバイスは何か、通信品質はどうかといったことまでわかります。

これらの可視化された情報をもとに収益化をはかることができます。たとえばお祭りの会場付近でFacebookビデオをアップロードしている人が多い、ということがわかれば、近隣商業施設で買い物をするとハイスピードプランのフリークーポンを配信することで、外国人観光客が商業施設で買い物をすることになります。SNSの普及で個人が広告媒体となる中、そこをどう取り組むかが収益化の大きなKeyとなります。

また、国や宗教によるタブーに触れないよう、きめ細かなペアレンタルコントロールも可能になります。たとえばイスラム教国から来た人には酒の広告は見せない、といったコントロールも可能です。

さらにアプリケーションやトラフィックの種類を判別して、Facebookのアップロードだけ無制限、音声通話だけ可能、など加入者動向に合わせたさまざまなサービスを提供して収益化が可能になります。

また、現在着目しているのが、データセンターやエンタープライズ向けサービスを提供する企業向けの、顧客ネットワークの可視化、分析、トラブル検知です。顧客向けネットワークサービスの利用状況を可視化することで、制御や帯域増加についてのコンサルティングに活用します。今後増えてくるIoT向けネットワークの運用管理にも応用できそうです。

トラフィックの可視化、制御、分析がオールインワンで提供可能なサンドバイン製品群は、通信事業者だけでなく、企業、学校、行政など、さまざまなネットワークの価値向上を可能にするのです。

【関連情報】
ネットワークインテリジェントを提供する　サンドバイン
メールでのお問い合わせはこちらまで　japansales@sandvine.com