5Gエッジの保護

APIの保護：5Gのアプリケーション駆動のエコシステムに欠かせないもの

サービス プロバイダは、ネットワークのハードウェアをソフトウェアから分離し、マイクロサービスを採用してネットワークをよりモジュール化し、効率化することで、ネットワークでより多くのAPIを使用するようになりました。この傾向は、APIで相互接続されたコンテナベースのマイクロサービスで構築されたサービスベースのアーキテクチャを使用するクラウドネイティブ5Gでは、ますます重要になっています。また、サービス プロバイダは、パートナーや顧客がMEC環境でサービスやアプリケーションにアクセスできるようにするためにもAPIを使用するでしょう。これにより、サードパーティ ソリューションの統合やエンタープライズ アプリケーションの拡散が容易になり、さらに、5Gの主要な使用事例である多数同時接続において重要な役割を果たすことになります。

サービスとビジネスの統合でAPIに依存していることを考えると、サービス プロバイダは、APIがネットワークに新たな脅威ベクトルをもたらす可能性があると想定し、これらのソフトウェア コンポーネントの安全を可能な限り確保するための予防対策を講じなければなりません。実際、F5は、認証の欠如や不適切な認証によってAPIが攻撃されやすくなることを明らかにしています。^[2] ネットワーク上でAPIを許可する前にAPIの分析と認証を行ってセキュリティを確保し、さらに確実に保護するためにライフ サイクルを通してAPIを管理する必要があります。

APIゲートウェイでMECの入口を防御

多様なAPIとそのトラフィックを管理するために、APIゲートウェイの必要性が急速に増しています。ゲートウェイは特に、外部接続からネットワークに入ってくるトラフィックを管理するのに適しています。これらのゲートウェイは、5Gサービスを保護する上で重要な役割を果たすことができます。5G Future Forumが説明しているように、APIゲートウェイは、「インフラストラクチャとサービスを標的としたリクエストの偶発的または意図的な使用」を防ぐのに役立ちます。^[3]

多くのAPIゲートウェイは統合された認証/認可機能を備え、これらの機能は、パブリック向けAPIエンドポイントが侵害された場合の侵入の影響を抑制することができます。APIゲートウェイは、トラフィックをルーティングする際にゲートウェイの機能を低下させることなく、5Gサービスが低レイテンシやその他の要求の厳しいパフォーマンス パラメータの要件を確実に達成できるように、これらの予防対策を講じる必要があります。また、ゲートウェイは、ネットワーク内のフットプリントが小さい軽量のプログラミングを使用して、マイクロサービスのAPIトラフィックを管理しなければなりません。

NGINX Plusの一部として提供されるF5 APIゲートウェイは、マイクロサービス アーキテクチャのセキュリティを簡素化するクラウドネイティブ ソリューションです。このソリューションは統合された認証と認可の推奨要件を満たし、5G MEC環境での使用に最適です。また、開発者向けのポータルとドキュメントもご用意しています。

IoTセキュリティ：5Gアクセス ネットワークに戦略的に配置

これまではネットワーク セキュリティの「最も弱い結び目」は人間だと考えられてきましたが、IoTデバイスがエコシステムに浸透している今、コネクテッド デバイスもまた深刻な懸念材料となっています。コネクテッド デバイスの数の多さ、多様な使用事例、デバイスの制約により、潜在的な脆弱性の規模と範囲は拡大しています。このような状況は前例がなく、IoTボットネットにとって魅力的なネットワーク環境を作り出しています。IoTサービス アーキテクチャを設計する際、サービス プロバイダは設計の一部としてセキュリティを組み込まなければなりません。

たとえば、携帯電話事業者の業界団体であるGSMAは、ネットワークに接続されるIoTデバイスの数が、世界全体では2019年の120億台から2025年には250億台近くに達すると予測しています。^[4]5Gで期待されるIoTの使用事例の多くは、専用のセキュリティを必要とします。これには、自律走行車、コネクテッド ヘルス デバイス、遠隔医療などのミッションクリティカルな通信に使用されるデバイスのほか、ビル、製造施設、スマート ホーム、スマート グリッドなど、「スマート」なインフラストラクチャにより登場するであろうエコシステム全体が含まれます。

コネクテッド デバイスの数の多さ、多様な使用事例、デバイスの制約により、潜在的な脆弱性の規模と範囲は拡大しています。

IoTデバイス自体がリスクを軽減するためにできることは限られています。特に小型のIoT設計で使用されるデバイスは、セキュリティに割り当てられる計算能力が限られています。また、デバイスがセキュリティ機能を備えていたとしても、デバイス メーカーによるセキュリティ アップデートのデリバリに一貫性がなければ、これらの予防対策が損なわれかねません。多くのIoTデバイスが何年も市場で使用されることが予想されるため、問題は長期化するでしょう。

サービス プロバイダは、システム全体でIoTセキュリティに取り組む必要がありますが、5GやMECアーキテクチャではさらに、IoTデータがネットワークのエッジに入る重要なポイントに保護対策を組み込むという戦略的なニーズもあります。実用的で堅牢なソリューションなら、サービス プロバイダはサービスをデータ センターでホストしたり、直接的に管理したりすることなく、IoTセキュリティ サービスを提供できます。そのようなソリューションは、ネットワークの脅威、デバイスの脅威、サービスの不正利用を緩和するように設計されており、加入者を認識し、アンマネージドIoTデバイスから保護します。

IoTとセキュリティ プロトコルを認識するIoTゲートウェイ

アクセス ネットワークに配置されたIoTゲートウェイにより、コネクテッド デバイスはネットワークとアプリケーションを利用できます。デバイスからの通信はこれらの場所を経由するため、ゲートウェイが、セキュリティを含むIoTイニシアチブの成功に必要なさまざまなサービスを統合します。

たとえば、F5 IoTゲートウェイは、セキュリティ プロトコルだけでなく、IoTで使用される多くのプロトコルを認識するように構築されています。ゲートウェイは、IoTルーティング メッセージやトピックを認識して、データを送信する前にデータが正当なものであることを確認することで、セキュリティ対策を実施するための戦略的な制御点を提供します。F5 IoTゲートウェイは、異常や悪質な動作を検出して悪用されるのを防止します。このプロセスは、セキュリティを確保するだけでなく、違法な接続や悪意のある接続に貴重なネットワーク リソースを浪費することも防ぎます。

共有可能でスケーラブルな、加入者認識型のIoTファイアウォール

IoTファイアウォールは、コアの近くに配置されたユーザープレーン ファイアウォールです。IoTドメインに特化しているため、従来のネットワーク ファイアウォールの機能を上回り、デバイスを認識したアプリケーション中心のポリシーを提供して、サービス プロバイダのネットワークの整合性と可用性を低下させる脅威からIoTデバイスを保護することができます。

たとえば、IoTファイアウォールは、デバイスがネットワーク内の「安全な」場所にのみ接続し、未知のサービスには接続しないようにします。この予防対策により、デバイスがマルウェアによって侵害されたり、悪意のある通信によってリモートから悪用されたりする可能性を最小限に抑えることができます。また、この機能は、IoTデバイスが意図しないサービスに使用され、サービス プロバイダやアプリケーションの所有者の収益を減少させるのも防ぎます。

F5 IoTファイアウォールは、サービス プロバイダとそのパートナーが抱えるこれらの懸念を解消します。図1に示すように、ファイアウォールはエッジ環境でコスト効率よくIoTセキュリティを提供するためのスケーラビリティを備え、かつ詳細に設定できます。たとえば、ファイアウォールを、異なるIoT顧客間で共有することができ、加入者を認識して数千のIoT顧客を簡単にサポートし、各加入者が独自のセキュリティ ポリシーを実装することができます。また、数百万台のデバイスのトラフィックにも対応できます。このソリューションは、展開を大幅に簡素化し、サービス プロバイダとその顧客の運用コストを削減し、新たな脅威に直面しても継続的で高品質なサービスを提供できるという安心感をサービス プロバイダにもたらします。

図1：IoTファイアウォールのデータ プレーンは、顧客が実装したセキュリティ ポリシーの実施者として機能し、明示的に許可されたトラフィックの通過を許可して、他のすべてのトラフィックをブロックします。Customer 3は、感染したデバイスから感染したトラフィックを渡しています。緑の線は通過が許可されているトラフィックを表し、赤の線はブロックされているトラフィックを表しています。

DDoS攻撃対策：迅速、効率的、かつ大規模に攻撃を防ぐ

サービス プロバイダのネットワークを狙ったDDoS攻撃は、規模、頻度、重大度ともに増加しています。F5の調査によると、2019年にF5 Security Incident Response Teamが対処した攻撃の77％がDDoS関連のものでした。さらに、2019年には公開されたサービス インフラストラクチャに対するDDoS攻撃の報告が52％増加しており、リスクは加速しています。^[5]

DDoS攻撃は、帯域幅を不正に使用し、正当なユーザーの接続を危険にさらすため、深刻な影響力があります。ボットネットがネットワーク機能を悪用してこれまで以上に大規模な攻撃を行う方法を見つけたことで、攻撃はますます複雑化し、高度化し、適応性を増しています。これに対応するため、サービス プロバイダは、F5 Advanced Web Application Firewall（Advanced WAF）などのプロアクティブなソリューションを使用して、これらの進化する脅威を検出し、阻止しています。

クラウドネイティブな分散型アーキテクチャ上で5Gを展開するサービス プロバイダにとって、新世代のハイパースケールのDDoS攻撃がネットワークを脅かすのではないかという懸念が高まっています。特に、ネットワークのエッジやファー エッジにコンピューティング リソースが分散されることで、DDoS攻撃やその他の脅威が5Gシステムに侵入するチャンスが増えます。また、エッジ リソースも、ネットワーク上の何十億もの接続を発端とする脅威をますます引き寄せ、高帯域幅や超低レイテンシの使用事例に使用される5Gの強力な接続は、このような攻撃を加速させる一因となるでしょう。

業界では、5Gの分散型コア アーキテクチャのセキュリティへの影響が指摘されています。5G Americasによると、アーキテクチャの脆弱性として、「インターネットに公開され、インターネットからのDDoS攻撃やDoS攻撃の影響を受けやすい低レイテンシ対応（次世代N6）インターフェイス」が挙げられます。^[6]

この環境にDDoS対策を導入するサービス プロバイダは、ネットワークへのこの時点での導入を想定して設計された効率的で高性能なソリューションを探さなければなりません。ソリューションは、商用オフザシェルフ サーバー上に構築されたクラウドネイティブ環境に適用でき、サービス プロバイダのネットワークを自動的に検出して、大量DDoS攻撃からネットワークを保護する必要があります。また、サービス プロバイダが超低レイテンシ接続を提供し、カスタマイズされたハードウェアを必要とせずにサービス レベル アグリーメント（SLA）を満たすことができるパフォーマンスを提供しなければなりません。さらに、リアクティブではなくプロアクティブなソリューションであり、他の用途のためにサーバーの容量を確保し、スケーラビリティと高いCPU効率を提供して運用コストを削減し、サービス プロバイダとその顧客が停止による収益の損失を回避できるようにしなければなりません。

IntelのSmartNICを介して提供されるF5 DDoS対策は、これらの要件をはじめとする多くの要件を満たしています。F5は、SmartNIC技術を用いた仮想DDoSソフトウェアを初めて採用した企業であり、このソリューションはMEC環境に最適です。SmartNICデバイスはノード上に配置され、F5® BIG-IP® Virtual Editionと統合されます。

このソリューションは、サービス プロバイダ ネットワークの市場で実証されています。実際、多くの企業がO-RANアーキテクチャのフロントホールで使用しており、分散型ユニット（DU）上に配置されています。このソリューションは、DDoS攻撃を検出し、影響を受けたトラフィックをスクラビング センターに送ることで、ノードの安全性を維持し、通常のトラフィックを保護します。さらに予防対策として、Kubernetesクラスタ内のクラウドネイティブ機能（CNF）の内部構造を隠すために、トポロジ隠蔽機能を使用します。ネットワークのエッジにあるノードに展開することで、サービス プロバイダはこれらの保護対策とそのメリットをこれらの場所まで拡張することができます。

F5とそのお客様は、サービス プロバイダが5Gアーキテクチャを構築する際に必要となる卓越したDDoS攻撃対策機能をこのソリューションがクラウド環境に提供することを実感しています。このソリューションは、ソフトウェアのみのバージョンのソリューションと比較して最大300倍の規模のDDoS攻撃に耐えることができ、総所有コストを47％削減します。^[7]

図2：IntelのSmartNICを介して提供されるF5 DDoS対策は、イングレス機能の一部として導入することで、正当なユーザーのための帯域幅を攻撃が不正使用するのを阻止することができます。このソリューションは、悪質なトラフィックがコア ネットワークに到達するのを防ぎ、エッジからコアへのデータ伝送コストを削減します。また、BIG-IP AFMと統合されているため、キャリアグレードのネットワークアドレス変換（CGNAT）やDNSなど、他の仮想化ネットワーク機能（VNF）を追加することで多機能化することができます。

アプリケーション中心のファイアウォール：アプリケーション中心の5Gネットワーク向けに設計

5Gネットワークはアプリケーションを中心としています。そのクラウドネイティブでサービスベースのアーキテクチャは、アプリケーション上で動作します。サービス プロバイダは、仮想化されたコア サービス、ネットワーク スライス、その他の主要機能をKubernetesベースのソフトウェア コンテナに展開し、ネットワークの分散型アーキテクチャがもたらす柔軟性により、これらの内部アプリケーションの多くをMECに移動できます。また、エンタープライズ アプリケーションやコンシューマ アプリケーションもMEC環境で実行することができます。

侵害されたアプリケーションはサービスのダウンタイムを引き起こし、機密データを漏洩させ、不正なトランザクションを可能にするため、このアーキテクチャにはアプリケーション中心のセキュリティが必要になります。サービス プロバイダは、ファイアウォールを使用してこのようなリスクを軽減することができます。アプリケーションへのアクセスを保護するファイアウォールと、アプリケーション自体を保護するファイアウォールの2つのアプローチが推奨されます。

ファイアウォールを使用してMEC内のアプリへケーションへのアクセスを保護する

サービス プロバイダは、ファイアウォールを使用して、MECに展開されたコンテナベースのアプリケーションへのアクセスを保護できます。このアプローチは、サービス プロバイダがMECで展開しているコア ネットワーク機能やアプリケーションだけでなく、そこにホストされているエンタープライズ アプリケーションやコンシューマ アプリケーションも保護することができます。アプリケーションへのアクセスを保護することで、ファイアウォールは、攻撃がサービスを劣化させたり、逼迫させたりする前に攻撃を緩和します。このファイアウォールには、最も強硬な攻撃を阻止するためのスケーラビリティ、柔軟性、パフォーマンス能力、制御能力が求められます。

サービス プロバイダ向けのF5 BIG-IP Advanced Firewall Manager（BIG-IP AFM）は、従来のファイアウォールを上回る高度なネットワーク保護機能を備え、ネットワーク内のプラットフォームや場所に関係なく、コンテナベースのアプリケーションを保護します。このソリューションは、アプリケーション自体の周囲にファイアウォールを配置することで機能します。また、ファイアウォールでは珍しいDDoS攻撃の検査と検出を可能にするフルプロキシ アーキテクチャにより、高性能なDDoS対策を実現します。保護対象として設計されたアプリケーションにファイアウォールのポリシーを合わせることで、ポリシーの有効性を高めます。また、すべての着信接続を遮断して検査し、目的のアプリケーションに到達させる前に接続の安全性を確保するため、脅威検出の精度が向上します。

サービス プロバイダ向けのF5 BIG-IP Advanced Firewall Manager（BIG-IP AFM）は、ネットワーク内のプラットフォームや場所に関係なく、コンテナベースのアプリケーションを保護します。

サービス プロバイダは、BIG-IP AFMを使用して、ネットワークのフラッディング攻撃、DNS攻撃、DDoS攻撃などを軽減しながら、アプリケーションのパフォーマンスを低下させることなく正当なトラフィックを通過させることができます。BIG-IP AFMは、その保護機能としての役割に加えて、セキュリティ運用を合理化します。アプライアンス、仮想化ネットワーク機能（VNF）、またはKubernetes内のコンテナとして導入できるため、統合が容易で、あらゆるレベルのトラフィック需要に対応するために簡単にスケーリングできます。効率的なユーザー インターフェイスを備え、導入、セキュリティ ポリシーの実装、監視、デプロビジョニングを自動化できます。そのダッシュボードでは、アプリケーションのセキュリティ状態を広範囲に可視化し、インサイトを得て、分析を行うことができます。

エッジでのアプリケーション層セキュリティのためのファイアウォールの使用

アプリケーションはしばしば攻撃の標的となります。これらの攻撃は、組織が不注意でアプリケーションを保護しないまま放置した場合や、ボットが標準的な保護対策を回避した場合、組織犯罪や国家が連携することで攻撃が特に巧妙になった場合などには検出が難しく、防ぐことが困難になります。

5Gサービス プロバイダがコンテナ化されたアプリケーションをMECに展開する際には、これらの重大なリスクを念頭に置き、エッジで処理されるデータが保護され、盗難に遭わないようにするための追加の予防対策を講じる必要があります。また、MECに展開されるエンタープライズ アプリケーションやパブリック クラウド サービスも保護する必要があります。

F5 Advanced Web Application Firewall（Advanced WAF）は、アプリケーション層での制御を提供し、Webベースのアプリケーションだけでなくサーバーを経由する通信も保護します。このソリューションを使用して、Webアプリケーション、マイクロサービス、コンテナ、APIを保護することができます。また、アプリケーション層の暗号化機能を提供し、認証情報を盗み出してユーザー アカウントへの不正アクセスを行うWeb攻撃を防ぎます。Webスクレイピングを実行し、悪意のあるボットからアプリケーションを保護し、DDoS攻撃の検出と緩和を行い、悪意のあるトラフィックを正当なトラフィックから分離します。さらに、高度にプログラム可能でインテリジェントであるため、ポリシーを動的に適応させ、攻撃を積極的に停止させることができます。

Advanced WAFは、セキュリティ運用に多くのメリットをもたらします。たとえば、組み込みインテリジェンス機能と監査機能により、主要なセキュリティ基準や規制要件へのコンプライアンスを容易に認識し、維持することができます。このソリューションは、脆弱性を迅速に特定して解決するために、動的なセキュリティ診断と自動仮想パッチを実行します。専門家やジェネラリストが使用するのに適した、多機能のインタラクティブなダッシュボードでは、攻撃が直接的に可視化されます。サービス プロバイダは、このようなインサイトを利用して、アプリケーションの安全性を維持するためのセキュリティ上の決定を自信を持ち、情報に基づいて下すことができます。

エッジの保護

F5は、サービス プロバイダがこれらの戦略的課題に対処するための重要なノウハウとソリューションを提供しています。エンタープライズ ネットワーキング、サービス プロバイダ ネットワーク、および4GにおけるF5の広範な実績は、事業者が新しいプラットフォームを安全に展開し、クラウド上でエンタープライズ ワークロードなどの5Gサービスを運用するのに役立ちます。サービス プロバイダは、必要とする堅牢で包括的なソリューションを利用することで、現在と将来のどちらのエッジ展開でもセキュリティを確保することができます。

^[1] Analysys Mason、『Edge Computing: Operator Strategies, Use Cases, and Implementation』、Gorkem Yigit著、2020年6月、11ページ。

^[2] F5、『2020 Application Protection Report, Volume 1: APIs, Architecture, and Making Sense of the Moment』、Sander Vinbergら著、2020年7月30日。

^[3] FG Future Forum、『Multi-access Edge Computing Exposure and Experience Management Abstract』。

^[4] GSMA、『The Mobile Economy 2020』、3ページ

^[5] F5、『Top Attacks Against Service Providers 2017-2019』、2020年2月6日。

^[6] FG Americas、『The Evolution of Security in 5G』、2018年10月、25～28ページ。

^[7] F5、『Mitigate DDoS Attacks up to 300x greater in Magnitude in Cloud Environments: Introducing BIG-IP VE for SmartNICs』、Tom Atkins著、2020年6月24日。