ワールドニュース

米国ニュース


シスコシステムズ、不安定さを増す世界においてモバイル事業者のセキュリティ強化に貢献

2006 年 5 月 26 日

ジェイソン・デイン (Jason Deign、News@Cisco) シスコシステムズ® (以下シスコ) は、モバイル事業者のネットワークを安全に保ち、サービス加入者をネットワークの脅威から守るべく、支援を行っています。

現在、モビリティ分野は DDoS (Distributed Denial-of-Service : 分散型サービス拒否) 攻撃やワーム、ウイルスといった脅威のターゲットになっていますが、わずか 10 年ほど前まではモバイル ユーザやモバイル事業者はこの種の脅威とは無縁でした。

なぜなら、モバイル事業者のネットワークは、公衆電話交換網 (PSTN) や Signaling System 7 (SS7) ネットワークといった厳格に制御されたインフラストラクチャに接続され、ほかのネットワークからは隔離されていたからです。当時、モバイル事業者は、これらのインフラを通してモバイル ボイス サービスのみを提供していました。

しかし、その後モバイル ネットワークは数々の変化を繰り返すこととなったのです。

時分割多重 (TDM) や ATM をベースとした従来の音声バックボーンに代わり、より高速で柔軟性と効率性にも優れた IP ネットワークが利用されるようになりました。今ではモバイル事業者は、音声だけでなく、IP ベースの様々なサービスを加入者に提供することができます。

その結果、PSTN や SS7 はモバイル ネットワークとして利用される唯一の方法ではなくなったのです。

インターネットやローミング エクスチェンジ、企業顧客、情報サービス、アプリケーション プロバイダーなどに直接接続する機会が急増し、モバイル ネットワークはきわめて高いアクセシビリティと相互接続性を備えた通信手段のひとつとなりました。

かつては音声サービスを提供するだけだったモバイル デバイスは、目覚しい進化を遂げ、今ではマルチメディア メッセージや、Web ブラウジング、ネットワーク ゲーム、オフィス アプリケーション、およびバーチャル プライベート ネットワークなどにも対応しています。

これらはしかし、モバイル事業者による第 3 世代 (3G) ネットワークの導入に伴い起きた数々の変化の、ほんの一例にすぎません。この 3G ネットワークによって、インターネットのリッチ コンテンツやサービスがモビリティ分野に進出し、企業のネットワークは、遠く離れた僻地にいるユーザとの通信にも対応できるようになりました。

3G ネットワークおよびサービスは加入者の生活を豊かにし、モバイル事業者に新しい商機と収益源を提供します。しかし、これらによって加入者とモバイル事業者は、新たな危険にさらされることにもなります。

たとえば、インターネットやローミング エクスチェンジ、顧客、パートナーへの頻繁な接続は、様々な新サービスを提供するうえで欠かせない要素ですが、悪意のある第三者によるシステムへの侵入や、DDoS 攻撃、マルウェア攻撃を媒介してしまう場合もあるのです。

きわめて高性能な 3G モバイル デバイスですが、モバイル事業者にとっては悩みの種でもあります。これらは、セキュリティ侵害のターゲットと原因の両方になり得るからです。 基本的に、3G デバイスの多くは小型のフォーム ファクタ PC です。3G PC カードの登場により、無数のラップトップ コンピュータで、ワイドエリア ネットワーク (WAN) ブロードバンドサービス用に 3G ネットワークが用いられるようになりました。

3G モバイル デバイスを攻撃から保護すること、そしてモバイル ネットワークと加入者を脆弱な、もしくは悪意のあるデバイスから保護することは、決して容易ではありません。モバイル事業者がデバイスの機能や設定をコントロールできないとなれば、なおさらです。

さらなる問題として、3G モバイル デバイスを大量のデータの発生元へとかえる P2P (peer-to-peer) アプリケーションの普及があります。データが膨大になれば、限りあるネットワーク資源が圧迫されたり、収益源となる加入者のユーザ体験が損なわれたりといったことにもなりかねません。

モバイル事業者が、障害を最小限に抑え、信頼できるサービスとセキュリティそしてプライバシーを求める加入者の期待に応えようとするならば、これらのリスクに対処することが不可欠です。

シスコのグローバル モバイル バーティカル チームのセキュリティ ビジネス デベロップメント担当マネージャであるブライアン・ドハティ (Brian Daugherty) によると、これらの問題を克服する鍵は、「管理、監視、抑制」にあるといいます。

具体的には、次のような解決策があげられます。

  • ネットワークのアクセスと使用を管理し、ネットワークおよびサービス インフラストラクチャに攻撃に対する耐性を持たせるために、予防的なポリシー強化を行う。
  • ポリシー準拠を徹底させ、モバイル サービス配信に影響を与える可能性のあるイベントを検知するために、ネットワークと加入者の振る舞いを積極的に監視する。
  • セキュリティに関するデバイス、ツール、および戦略を適切かつ動的に組み合わせることで、攻撃抑制に向けて迅速に対応する。

シスコではモバイル事業者を支援するために、GSM (Global System for Mobile Communications) や、CDMA (Code Division Multiple Access)、Wi-Fi、およびデュアルモードなどの各種アーキテクチャに基づくモバイル ネットワーク インフラストラクチャに適用可能な、幅広いセキュリティ システム スイートを提供しています。

このセキュリティ スイートを利用することで、Iインフラストラクチャの強化やネットワーク境界の防御が可能になるほか、加入者がポリシーに準拠しているかどうかを確認したり、ワームやウイルスのネットワーク上での繁殖や、基幹のサーバおよびサービスへの攻撃を防止したりといったことが可能になります。

このシスコ スイートは次のような要素から構成されています。

  • Network Foundation Protection - Control Plane PolicingManagement Plane Protection などのセキュリティ ツールおよび機能をCisco IOS ソフトウェアに統合し、モバイル事業者の IP ネットワークを構成するルータとスイッチを強化します。
  • Cisco DDoS Mitigation - Anomaly Detector を使って、トラフィックのベースライン プロファイルを作成します。ベースラインからの逸脱が見つかった場合、データは一旦Anomaly Guard に送られ、攻撃コードを取り除いた後に、ふたたび正規のトラフィックへと戻されます。
  • Cisco Secure Packet Gateway - 加入者の認証、データ サービスへのアクセスの制御、加入者ごとの振る舞いの監視、およびネットワーク境界のトラフィック フローの制御を行うことで、無線アクセス ネットワーク (RAN) 境界を防御します。
  • Cisco Subscriber-Aware Firewalls - 外部ネットワークからのすべてのトラフィックとモバイル加入者とを照合することで、インターネットや企業ネットワークの境界を防御します。
  • Cisco Service Control Engine - 監視と管理の機能を1つのプラットフォームに統合。ディープパケット検査・分析によって、加入者とサービス、およびアプリケーションの振る舞いに関する詳細なレポートを作成します。
  • Cisco Incident Control System(ICS) - Trend Micr 社とのコラボレーションによるシステム。ワームとウイルスからネットワークを保護します。IC を使うことで、アウトブレーク警告発生から数分間で、複数の攻撃抑制デバイスに保護用のアクセス コントロール リストと攻撃シグネチャが適用されます。

シスコ モバイル セキュリティ スイートの構成要素は、そのほとんどが複数の役割を担っています。たとえば、Cisco DDo 抑制システムの主な役目は攻撃抑制ですが、同時にモニタリング機能も備えています。

「必ずしもすべてのモバイル事業者が、このセキュリティ スイートのすべての要素を必要としているわけではありませんし、ネットワークおよびサービスのインフラストラクチャの障害回復力を強化するために、フルスイートを導入しなければならないということもありません」とドハティは言います。

「各自の要件に合わせてソリューションを組み合わせ、段階的に導入していけばいいのです」

ジェイソン・デイン : スペイン・バルセロナを拠点に活動するフリー ジャーナリスト

▲Return to Top

お問い合わせ