ホワイトペーパー Software-Defined Secure Network SDSNホワイトペーパー：Software-Defined Secure Network 3 © 2017 by The Enterprise Strategy Group, Inc. All Rights

© 2017 by The Enterprise Strategy Group, Inc. All Rights Reserved.

現代のソフトウェア定義ネットワークにおける

ソフトウェア定義セキュリティの意義

ダン・コンデ（ESG シニアアナリスト）

ジャック・ポラー（ESG シニアラボアナリスト） 2017 年 1 月この ESG ホワイトペーパーは、ジュニパーネットワークスの委託により作成され、

ESG の許諾の下で配布されるものです。

Software-Defined Secure Network（SDSN）

ホワイトペーパー

Enterprise Strategy Group | Getting to the bigger truth.™

ホワイトペーパー：Software-Defined Secure Network 2


目次

はじめに ................................................................................................................................................................................. 3

課題 ......................................................................................................................................................................................... 3

不足するサイバーセキュリティのスキル ..................................................................................................................... 3

分断する組織 ..................................................................................................................................................................... 4

手動プロセスの問題 ......................................................................................................................................................... 5

情報の視覚化 ..................................................................................................................................................................... 5

ソリューションの統合とマクロの視点からのポリシーの定義 ................................................................................. 6

ジュニパーの SDSN ............................................................................................................................................................... 7

SDSN アプローチ ............................................................................................................................................................... 7

さまざまな課題に対応するジュニパーネットワークスの SDSN ............................................................................. 10

セキュリティ制御プレーン：Security Director および Policy Enforcer ................................................... 10

Sky Advanced Threat Protection ........................................................................................................................... 11

セキュリティデータプレーン：SRX シリーズファイアウォール、EX/QFX シリーズスイッチ、MX シリ

ーズルーター ............................................................................................................................................................. 12

より大きな真実 ................................................................................................................................................................... 13



はじめに

現代のビジネス環境は絶えず変化しており、その影響を受けて、組織はサイバーセキュリティ上の深刻な課題

に直面しています。従業員が業務に使用するデバイスの種類や数は拡大の一途をたどり、コラボレーションの

手法も次々と様変わりしています。レガシーのシステムやパブリッククラウド、プライベートクラウドから

構成される複雑な IT インフラストラクチャへの依存度が高まる一方、サイバー攻撃の手口は巧妙化するばか

りです。そして、これらの要素が相まって、きわめてゆゆしき事態が進行しています。このような状況で組織

に求められるのは、ネットワークを監視して疑わしい挙動を検出し、悪意のある振る舞いの影響を受けないよ

う対策を効果的に講じることにほかなりません。

課題

不足するサイバーセキュリティのスキル

多くの企業では、適切なレベルのネットワークセキュリティのスキルや、ネットワークセキュリティ関連の

業務を適切に遂行できる人員がまったくもって不足しています。これは、もっと大きな問題、すなわち、グロ

ーバルレベルにおけるサイバーセキュリティのスキル不足を示す兆候の一つに過ぎません。ESG の調査によれ

ば、46% の組織がサイバーセキュリティのスキル不足の問題を抱えていると主張しており、これは、あらゆる

タイプの IT スキルの不足の中で最も状況が深刻です1。さらに、このサイバーセキュリティのスキル不足の問

題のうち、組織が 2 番目に多く挙げていたのが、ネットワークセキュリティスペシャリストの不足です。そ

して、これに僅差でトップとなった回答は、ネットワークセキュリティと非常に密接な関係のあるクラウド

セキュリティ分野のスペシャリストの不足でした。

図 1. 不足するサイバーセキュリティのスキル

出典：Enterprise Strategy Group、2017

こうしたスキル不足は、単なる理論上の問題ではなく、現実の世界にすでに影響を及ぼしています。「グロー

バルレベルでサイバーセキュリティのスキルが不足しているために組織が深刻な影響を受けている」と 29% の

1 出典：ESG Research Report、『2016 IT Spending Intentions Survey』、2016 年 2 月

9%

14%

14%

15%

20%

23%

26%

27%

28%

33%

We don’t have any cybersecurity skills deficiencies

Endpoint security specialists

Application security specialists

Identity and access management

Security operations

Security engineering

Data security specialists

Security analytics

Network security specialists

Cloud security specialists

Which areas of cybersecurity would you say that your organization has the biggest skills deficiency? (Percent of respondents, N=299, three responses accepted)

サイバーセキュリティ分野のスキルのうち社内で特に不足していると考えられるもの

（回答者の割合、N = 299、3 項目を選択可）

http://research.esg-global.com/reportaction/ITSI2016/TOC



サイバーセキュリティのプロフェッショナルが述べており、また 40% が、何らかの影響を受けているとの見方

を示しています2。

それでは、どのような種類の問題があるのでしょうか。全体の 54% の組織が、少なくとも 1 つはセキュリテ

ィ上の問題を経験しています。その原因として、サイバーセキュリティの業務担当者の約 3 分の 1 （31%）

が、「組織の規模に比べてサイバーセキュリティチームの体制が十分でない」と答えており、また、26% が技

術職以外の従業員に対するトレ－ニングの不足を挙げています。さらに、21% が「事業管理部門や経営幹部が

サイバーセキュリティを優先すべき課題ととらえていない傾向がある」と指摘しています。

これに加え、半数以上（54%）が「サイバーセキュリティのスキルの不足で既存の従業員の負荷が増えている」

と述べており、32% が「スキルの不足が離職率の増加につながっている」との見解を示しています。また、

「サイバーセキュリティ業務の担当者が日々の業務に追われ、十分なトレーニングを受けられない原因になっ

ている」との回答も 32% に上っています。さらに、「スキル不足でサイバーセキュリティスタッフの『燃え

尽き』が増える原因になっている」と 25% の人が回答していることも注目すべき点です。

分断する組織

従来、企業の IT スタッフは、責任を持つべき個々の職務分野を中心に組織されており、ストレージ、ネット

ワーク、仮想化、データベース、デスクトップ、モバイル、テレフォニー、セキュリティを専門に扱うチーム

が別々に存在しています。時間の経過とともに、個々の専門領域がより複雑化し、IT スタッフが担当する業務

の専門性が高くなると、業務をこなし、昇進するために、高度なトレーニングを受け、認定資格を取得する必

要が生じます。

これに伴い、当然のことながら、組織は分断されることになります。チーム間のコミュニケーションがなくな

ったばかりか、チーム間で互いの職務範囲を越えることが許されなくなります。仮想化のチームはおそらく、

ほぼ瞬時に新しい仮想マシンを準備できるでしょう。しかし、その仮想マシンをストレージやネットワークと

連携させるためには、ストレージやネットワークのチームに支援を要請しなければなりません。同様に、スト

レージ管理者は、ストレージソリューションをスケールアウトすることはできますが、ストレージを物理的に

ネットワークと接続するだけでも、ネットワークチームの支援を仰ぐ必要があります。一方、どのコンピュー

ティングデバイスについても、そのセキュリティポリシーの作成、変更を任せられるのは、限られた少数の

セキュリティ業務の担当者だけです。

ソフトウェア定義のデータセンターがもたらした革新的な技術により、データセンターの統合や、組織の分

断化を解消できる見込みはあります。コンバージドやハイパーコンバージドのスケールアウトアーキテクチャ

を利用して仮想環境やクラウド環境を設計、実装、管理するには、ネットワークからセキュリティにいたるま

で、IT のほぼすべての分野に関する専門知識が必要になるため、職務別のチーム間の連携を促し、スキルの相

互交流も進むでしょう。

しかし、ソフトウェア定義やクラウド、統合化などの新たなテクノロジーも万能のソリューションではありま

せん。新しいテクノロジーを導入すれば、それに伴って、全体的な課題や部分的な課題が新たに生じ、十分な

専門トレーニングを受け、理解することが必要になります。たとえば、ソフトウェア定義という概念を導入し

て各種要素の操作や制御を一元化し、管理やセキュリティを簡素化したとしても、ネットワークがパブリック

クラウドとプライベートクラウドにまたがるようであれば、セキュリティ上の新たな問題が発生することにな

2 出典：ESG/ISSA Research Report、『Through the Eyes of Cyber Security Professionals: Annual Research Report (Part II)』、2016 年 12 月

http://research.esg-global.com/reportaction/ISSA-RR-State-of-the-Industry-Dec16/TOChttp://research.esg-global.com/reportaction/ISSA-RR-State-of-the-Industry-Dec16/TOC



ります。それゆえ、現代のデータセンターでは、必要とされる専門知識が増えることはあっても減ることはな

く、そのことが職務グループ間のさらなる分断を生みます。

手動プロセスの問題

多くの場合、IT 組織は膨大な数の手動プロセスを抱えて頭を痛めています。Excel で構成や状態を確認しなが

ら繰り返し手動でデータを入力する作業から、承認のサインが複数必要な帳票類の処理、オンラインチケット

システムなどにいたるまで、IT 業務のあらゆる領域に手動プロセスが存在します。そして、システムを自動化

した後でも、一部の手動プロセスは依然として残ります。このようなプロセスの多くは、その自動化に必要な

リソースやスキルセットの不足に起因するものですが、組織のマンネリ化により生じている場合もあります。

IT 組織の主要な目標は、企業全体にテクノロジーリソースを提供することにあります。労力やコストを抑え

ながらより多くの成果を上げるよう求められることが多くなれば、プロセスの自動化に割り当てられるリソー

スは制限されることになります。IT スキルの不足がこの状況にさらに追い打ちをかけます。IT スタッフは適

切なプログラミングスキルを持たず、基盤となるプロセスの理解もままならないといった状況です。

ソフトウェア定義のデータセンターの根底にある考え方は、操作や制御を一元化し、自動化することであり、

その目的は、IT スタッフの負荷を軽減し、組織の分断化を解消することにあります。これが実現できれば、ス

タッフの人員削減につなげられる可能性があります。しかし、IT 組織は生き物と同じで、自己防衛に向けた行

動を取ろうとします。複雑かつ難解でドキュメント化されていない手動のプロセスに従って業務が行われてい

る場合、職務や担当者、チームにだぶつきがあるとはみなされず、人員を削減することはできません。

情報の視覚化

IT ソリューションは、データの生成、蓄積、分類、フィルタリングを得意とします。しかし、無数のソースか

らデータを得てこれらを組み合わせ、照合し、関連付けたとしても、得られるものは、ジグソーパズルのピー

スと同じです。データから価値を引き出すには、このパズルを完成させなければなりません。そのためには、

データを視覚化する手法を使ってデータを整理し、その内容を理解可能なイメージとして表現します。

IT 部門の業務担当者のもとには、1 日あたり数千件のアラートが届きますが、関係のある重要なアイテムを特

定するには、膨大な量のデータの優先順位付けを行い、さらに、その検索を行わねばなりません。マルウェア

の攻撃を受けた場合、ネットワーク管理者には、影響を受けた IP アドレスの特定が重要である一方、セキュ

リティフォレンジックの技術者は、インシデントの数や、関与が疑われるマルウェアのチェックサムについて

の情報を必要とします。しかし、残念ながら、多くの IT ソリューションは利用者の視点や知識、役割を全く

無視し、利用者にとってどれも同等の価値があるとみなして情報を扱います。

一方で、情報の優先順位付けが可能で、重要な情報から先に表示し、ユーザーにとって関連性の高いデータを

強調して示すことができるソリューションを利用できれば、状況の評価や意思決定、適切な行動をすばやく行

うことができます。データの視覚化を十分に行えない環境では、意思決定よりも情報そのものの理解に労力や

時間を奪われてしまいます。

これに関連し、ユーザーインターフェースの問題もあります。現在では、IT ソリューションと同じ数のユー

ザーインターフェースの概念が存在し、その多くは、標準化されておらず、個人の抱えるハンディに対する配

慮を欠き、航空機や自動車の設計に利用されているような、数十年にわたるマンマシンインターフェース研究

の成果を無視しています。たとえば、エラーの状態を色で表示する場合、「緑は正常」「黄色は注意」「赤は

異常」といったように信号機のモデルを使うのが一般的ですが、これでは、赤と緑の色盲を抱える人に危険が

及ぶおそれがあります。



また、一度にできるだけ多くの情報を画面に表示しようとするのもユーザーインターフェースによく見られる

特徴です。さらに、高画素、高精細という最新のディスプレイの性能を活かして密度の高い画面レイアウトを

構成しているケースもありますが、これは高齢者には見にくい画面です。密度の高い画面レイアウトは、情報

の把握が難しく、新しい機能を探すのも厄介です。

ソリューションの統合とマクロの視点からのポリシーの定義

IT セキュリティソリューションは、ポイントソリューションを起点とするのがほぼ定石であり、特定の分野

における一部の技術的内容のみを扱うよう設計されます。たとえば、デバイス上の個々のインターフェースを

通じて移動するトラフィックはファイアウォールがチェックするのに対し、侵入防止システムは、パブリック

インターフェースから組織へと流れ込むトラフィックのみを処理の対象とします。

各ソリューションには独自のポリシーセットとポリシー操作ツールがあり、ポリシーの管理は比較的容易で

す。また、多くのソリューションで、複数のデバイスにわたってポリシーを同期させることも可能であるた

め、複数のポリシーを 1 つのマスターセットにまとめて、組織全体に一律で適用することができます。

これらのポリシーはミクロの視点によるポリシーで、ポイントソリューションにおける検知やエンフォースメ

ントに使用する特定の手法と密接に結ばれており、これにより、環境を非常にきめ細かく制御することが可能

になります。しかし、デバイスやソリューションに固有のものであるため、同じベンダーのソリューションで

あっても、別のソリューションには適用できません。そして、このようなポリシーの汎用性の欠如が障害とな

り、複数のソリューションを統合して単一のシステムを構成し、組織全体を対象にセキュリティを制御するこ

とが不可能になっているのです。

セキュリティを統一された包括的なものに維持するうえで、CIO や CISO、IT 管理部門、IT セキュリティ部門

には、特定のデバイスを考慮することなく組織全体を対象にマクロレベルでポリシーを設定できる能力が求め

られます。特定のリソースへのアクセスの許可および制限をユーザー、グループ、エンティティごとにポリシ

ーで指定し、このマクロ視点のポリシーを個々のデバイスやソリューションで利用できるよう IT ソリューシ

ョンで変換できれば理想的です。この方法なら、ポリシーの実装方法ではなく、ポリシーのインテントに関す

る作業に集中できます。



ジュニパーの SDSN

特定のニーズに対応できるネットワークセキュリティソリューションの検討は、IT 組織にとって価値のある

ことです。ジュニパーネットワークスの Software-Defined Secure Network（SDSN）は、そのようなソリュー

ションの 1 つとして、エンドツーエンドでのネットワークの可視性を高め、仮想、物理を問わず、ネットワ

ーク全体のセキュリティを向上させます。Software-Defined Secure Network の統合プラットフォームでは、

クラウドの経済性を活用し、脅威をすばやく検知してその攻撃を防ぐ一方、セキュリティの一元化と自動化を

可能にする包括的なソリューションポートフォリオで、ポリシー、検知、エンフォースメントを統合します。

ジュニパーの SDSN では、包括的な単一の防御ドメインが作成されます。このドメインでは、すべてのネット

ワークエレメントがエンフォースメントポイントになり、以下に示すネットワークセキュリティの 3 つの

柱が実現します。

• ポリシー：異種混合のネットワークすべてにわたり、あらゆるネットワークエレメントを対象とし

て、シンプルでわかりやすい一元管理されたポリシーを実現します。

• 検知：脅威の状態変化に対応できる適応性の高いポリシーを活用して、クラウドをベースとした脅威

情報の統合サービスを実現します。

• エンフォースメント：リアルタイムでの動的なポリシー配布を実現し、常に最新のポリシーを適用し

て、悪意のあるトラフィックからの攻撃を防ぎ、侵害を受けたエンドポイントを隔離します。

SDSN アプローチ

Software-Defined Secure Network の基盤となっているのは、ソフトウェア定義ネットワーク（SDN）です。

SDN はコンピューティングの仮想化の概念から派生したものです。基盤のハードウェアから独立し、個別に動

作できるようになるまでソフトウェアを抽象化する手法の原理をベースとしています。

SDN では、この原理をネットワークに適用することで、基盤となるハードウェアからネットワークソフトウェ

アを分離できるほか、抽象化レイヤの導入により、物理的に接続したりハードウェアを使用しなくてもネット

ワークの構成や制御が可能になっています。制御プレーンがデータプレーンと分離されるので、ネットワーク

の制御をプログラミングできる一方、複数のデバイスのデータプレーンを単一の論理データプレーンに一度

に統合して、統合ネットワークを構成できるようになっています。また、SDN では、デバイスの管理を統合

し、ネットワークの構成を自動化することで、ニーズの変化に合わせてネットワーク全体でトラフィックフロ

ーを調整することもできます。

ソフトウェア定義ネットワークは、統合されたプログラミング可能なネットワークであり、ビジネスニーズの

変化に合わせて動的なプロビジョニングができます。ソフトウェア定義ネットワークには、次のような特徴が

あります。

• 自動化：制御プレーンをデータプレーンと分離することで動的な構成を可能にし、DevOps やコンテ

ナ、OpenStackなど、最新の手法やテクノロジーとの直接的な連携も実現しています。サービス、アプ

リケーション、仮想マシンを動的にプロビジョニングするので、管理者による操作を必要とせず、プ

ログラムの制御により、自動的かつ動的に適切なネットワークリソースがプロビジョニングされま

す。



• 管理の一元化：分離された制御プレーンは論理的に一元化されるので、ネットワークを常にグローバ

ルな視点から把握できるようになります。制御プレーンを一元化することで、アプリケーションやポ

リシーエンジン、管理者が、それを 1 つの大きなスイッチとして扱うことができるため、管理が簡素

化され、ヒューマンエラーによる問題の発生が抑制されます。

• 拡張性：SDN では、スケールアップの手法をサポートしており、システム全体をアップグレードする

ことなく、デバイスを追加してネットワークの規模や利用する帯域幅を拡張できます。

• TCO の削減：小規模な構成から初めて段階的に規模を拡張できるため、設備投資コストを抑制でき、そ

の一方で、動的かつ一元的な管理により、管理の負荷が軽減され、運用コストが削減されます。

• 俊敏性と柔軟性：新しいアプリケーションやサービス、インフラストラクチャをすばやく展開できる

一方、ネットワークの構成やパフォーマンスを動的に調整して、新たなビジネス目標やビジネス目標

の変化に対応することが可能です。

SDN の手法をネットワークセキュリティに適用すれば、さまざまなメリットが得られます。ジュニパーネット

ワークスでは、これを確認し、Software-Defined Secure Network（SDSN）を開発しました。SDN が、ネットワ

ーク制御プレーンとネットワークデータプレーンを分離するように、SDSN では、ポリシー管理（セキュリテ

ィ制御プレーン）を検知やエンフォースメント（セキュリティデータプレーン）から分離しています。

ジュニパーの SDSN では、SDN と同様に、以下のような多くのメリットが得られます。

• 自動化：セキュリティ制御プレーンをセキュリティデータプレーンと分離することで動的な構成を

可能にし、アプリケーションやサービス、システムとの直接的な連携も実現しています。サービスを

動的にプロビジョニングするので、管理者による操作を必要とせずに、プログラムの制御によって自

動的かつ動的に適切なセキュリティポリシーが設定されます。

• 管理の一元化：分離されたセキュリティ制御プレーンは論理的に一元化されるので、ネットワークの

セキュリティを常にグローバルな視点から把握できるようになります。管理者には、1 つに統合され

た環境が提供されるため、環境全体をマクロ視点のポリシーで制御することができます。単一のイン

ターフェースで管理が簡素化されるほか、ヒューマンエラーによる問題の発生が抑制されます。

• 拡張性：SDSN では、スケールアップの手法をサポートしており、システム全体をアップグレードする

ことなく、デバイスを動的に追加して、ダイナミックに拡張するネットワークを保護できます。

• TCO の削減：小規模な構成から始めて段階的に規模を拡張できるため、設備投資コストを抑制でき、そ

の一方で、動的かつ一元的な管理により、管理の負荷が軽減され、運用コストが削減されます。

• 俊敏性と柔軟性：新しいセキュリティ検知やエンフォースメントを、動的に追加されたアプリケーシ

ョンやサービス、インフラストラクチャにすばやく展開できる一方、ネットワークの構成やパフォー

マンスをプログラムから調整して、新たなビジネス目標やビジネス目標の変化に対応することが可能

です。

ジュニパーの SDSN には、セキュリティに特化した以下のような特徴もあります。



• 単一のポリシードメイン：SDSN はネットワーク全体で単一のポリシードメインを作成します。この

ドメインを利用することで、CIO、CISO、IT 管理者、セキュリティ管理者はマクロの視点からポリシ

ーを策定できます。つまり、各ネットワークエレメントごとにポリシーを実装する必要がなくなり、

ネットワークの保護そのものに集中して取り組めるようになります。

• 単一の検知ドメイン：SDSN は単一の検知ドメインを作成して、セキュリティエレメントの種類にか

かわらず、ネットワーク全体で検知を統合、集約します。ネットワークの境界や内部、ネットワーク

デバイスが大量に存在するシステムでセキュリティ上の問題を検知できるため、常時接続や BYOD の

環境におけるネットワークセキュリティを強化することが可能です。

• 単一のエンフォースメントドメイン：SDSN は単一のエンフォースメントドメインを作成します。こ

れにより、ネットワーク全体でポリシーの適用が統一されるほか、種類の異なる複数のセキュリティ

エレメントを使用したエンフォースメントが可能になり、特殊なケースが排除され、ネットワークの

あらゆるポイントで、マルウェアやシステムの不正な操作が適切かつ完全に隔離されます。

• 防御の統合：すべてのネットワークエレメントがポリシー管理、検知、エンフォースメントにおいて

同じ環境に置かれるので、マルウェアやシステムの不正な操作による影響を、統一した手法で防ぐこ

とができます。



さまざまな課題に対応するジュニパーネットワークスの SDSN

ジュニパーの SDSN スタックは図 2 に示すように、セキュ

リティデータプレーン、セキュリティ制御プレーン、

Juniper Cloud で構成されています。

Juniper Cloud には、Spotlight Secure Threat

Intelligence と Sky Advanced Threat Protection（Sky

ATP）が含まれており、サードパーティの脅威情報サービス

からデータを取り込むこともできます。このクラウドは、

ポリシーの展開で必要となる脅威情報を提供し、セキュリ

ティの脅威の検知とその脅威からの防御を支援します。

制御プレーンは、Security Director と Policy Enforcer

から構成されており、管理者はこのプレーンからネットワ

ーク全体のポリシーを管理することができます。

セキュリティプレーンは、SRX/vSRX ファイアウォール、

EX/QFX ネットワークスイッチ、MX ルーターといった、ジ

ュニパーの物理、仮想ネットワークエレメントで構成され

ています。

ジュニパーの SDSN スタックは、ネットワークセキュリティの柱となる、以下の 3 つの要素をサポートして

います。

• ポリシー：ネットワーク全体のポリシーを一元的に把握、管理することができ、オープンかつプログ

ラミング可能な環境が実現します。

• 検知：脅威情報を統合することで、最新の脅威からの攻撃をすばやく効果的に防ぐことができます。

• エンフォースメント：適応性の高いエンフォースメントにより、あらゆる物理、仮想ネットワークエ

レメントにおいて、均一の防御を可能にします。

セキュリティ制御プレーン：Security Director と Policy Enforcer

ジュニパーの SDSN スタックで心臓部となるのは、セキュリティ制御プレーンである Security Director と

Policy Enforcer です。Security Director は、一元化されたネットワークセキュリティポリシー管理シス

テムです。ステートフルファイアウォール、統合脅威管理（UTM）、侵入防止システム（IPS）、アプリケーシ

ョンファイアウォール（AppFW）、VPN、ネットワークアドレス変換（NAT）に対応し、セキュリティポリシ

ーのライフサイクルにおける全フェーズで、きめ細かいポリシー管理を実現します。

Security Director のプラットフォームでは、標準的な Web ベースのインターフェースを活用し、すぐに役立

つ情報を自動でユーザーに配布します。これによりユーザーは、発生時点で脅威を検知することが可能にな

り、リアルタイムで対応アクションを適用できます。先進のデータビジュアライゼーション機能を備えた、カ

スタマイズ可能なダッシュボードウィジェットが用意されており、管理者はこのウィジェットを使用して、最

新のセキュリティ状態や、組織に影響を及ぼす可能性のある脅威を常に把握することができます。

図 2. ジュニパーの SDSN スタック

出典：Enterprise Strategy Group、2017



セキュリティ制御プレーンの鍵となるコンポーネントは Policy Enforcer です。Juniper Cloud や Sky

Advanced Threat Prevention（Sky ATP）から取得した情報を使って、クラウドに起因する最新の脅威の状況に

ついて学習し、脅威に対処します。Policy Enforcer では、環境の自動化を強化しており、セキュリティポリ

シーの更新を実行し、新しいエンフォースメントルールをすべてのネットワークエレメントに展開します。

これにより、マルウェアに感染したホストの追跡、隔離が効果的にできるようになり、被害の拡大を防ぐこと

ができます。

Security Director と Policy Enforcer は、ユーザーインテントベースのポリシーを中心に構成されていま

す。このような簡素化されたポリシーフレームワークのベースとなっているのは、ユーザー、ユーザーグル

ープ、位置情報、デバイス、サイト、テナント、アプリケーション、脅威など、ビジネス指向のオブジェクト

やインテントです。このフレームワークは、実装ではなく、実装の意図にポリシーの重点を置くよう設計され

ています。定義されたポリシーは、すべてのネットワークエレメントに適用されるため、ネットワークエレ

メントはすべてが同時に機能し、セキュリティ効果を最大限発揮します。

ジュニパーネットワークスは、Security Director と Policy Enforcer により、以下に示す、ネットワーク

サイバーセキュリティの主要な 5 つの課題を解決します。

• 組織の分断化：ソフトウェア定義ネットワークの原理とアーキテクチャをサイバーセキュリティネッ

トワークに拡張することにより、すべてのネットワークエレメントとセキュリティエレメントでイ

ンターフェースを統合し、ネットワークとセキュリティの業務を単一のシステムで処理できるように

します。これにより、さまざまな障壁が解消され、職務グループ間の協力が強化されます。

• マクロ視点のポリシー：アーキテクチャとしての SDSN、そして Security Director と Policy

Enforcer によって提供されるセキュリティ制御プレーンは、マクロ視点でのポリシーの定義と管理を

そのベースとしているため、業務担当者はネットワークセキュリティエレメントごとに複雑なポリ

シーセットをいくつも管理する必要がなく、セキュリティのインテントに関する作業に集中できま

す。

• 手動のプロセス：Security Director と Policy Enforcer では、ジュニパーの Sky ATP など脅威情

報ソースの脅威情報を使用したポリシーのアップデートや、個々のネットワークエレメントへのマク

ロ視点のポリシーの適用をはじめ、処理を大幅に自動化しています。

• 情報の視覚化：Security Director は、すべてのネットワークエレメントのデータと、Juniper

Cloud のデータにアクセスできます。組織のセキュリティの現状をマクロレベルで把握できるよう、

これらのデータは先進のデータビジュアライゼーション機能を通じてユーザーに提供されます。

• スキルの不足：Security Director、Policy Enforcer、ジュニパーの SDSN では、システムが自動化

されており、状況の把握やポリシーの管理がマクロレベルで可能なため、管理には、高度なトレーニ

ングやサイバーセキュリティ、ネットワーク、プログラミングの認定資格は必要ありません。

Sky Advanced Threat Prevention

Sky Advanced Threat Prevention（Sky ATP）は Juniper SRX シリーズファイアウォールと連携して機能しま

す。システムを出入りするトラフィックの監視を行い、巧妙化する既知の脅威、ゼロデイの脅威、未知の脅威

を検出し、それらの攻撃を防ぎます。クラウドベースのこのソリューションが提供する判定機能では、個々の

攻撃の潜在的なリスクレベルを評価します。既知のファイルの判定ではキャッシュルックアップを使用し、



新しいマルウェアの検知には、複数の偽装手法を使った動的サンドボックス分析で対応します。大規模なマル

ウェアデータセットから複数の属性や挙動を取り込む先進の機械学習アルゴリズムを適用して、ゼロデイ攻

撃や脅威がネットワークに影響を及ぼす前に検出し排除します。

Sky ATP は SRX シリーズファイアウォールと連携して機能します。SDSN のセキュリティ制御プレーンとの間

でデータをやり取りすることで、自動フィードバックループを構成したり、マルウェアの識別とその攻撃の防

御に要する時間を短縮したり、ポリシーを自動的にアップデートして感染の拡大を抑制します。Sky ATP が特

定したマルウェアについては、その情報がほぼリアルタイムにグローバルベースで、ジュニパーネットワーク

スのすべてのお客様に提供されるようになっており、さらなる攻撃を防ぐことができます。

Spotlight Secure Threat Intelligence プラットフォームが提供する整理された豊富な脅威情報を利用すれ

ば、さらに Sky ATP を強化することができ、アウトバウンドのマルウェアコマンドや制御通信をプロアクテ

ィブに自動でブロックすることが可能になります。さらに、Spotlight Secure Threat Intelligence のデータ

とグローバルに共有される Sky ATP のマルウェア情報とを組み合わせれば、誤って出される不要なアラートの

数が減る一方、マルウェアテストでの検出漏れを抑えることもできます。Sky ATP には、機械学習アルゴリズ

ムと、マルウェアの脅威の自動処理機能が搭載されています。そのため、脅威の防御に際して必要とされる知

識量が抑えられ、多大な労力を払わずに済みます。この結果、IT 業務の担当者は、ネットワーク環境全体の保

護に向けた業務に注力できるようになります。

セキュリティデータプレーン：SRX シリーズファイアウォール、EX/QFX シリーズスイッチ、MX

シリーズルーター

SDSN のセキュリティデータプレーンは、Juniper SRX シリーズファイアウォール、Juniper EX/QFX シリー

ズスイッチ、Juniper MX シリーズルーターから構成されます。SRX シリーズのファイアウォールは物理、仮

想のどちらのファイアウォールとしても展開することができ、長年にわたり業界で使われており、優秀な製品

として認められてきました。SRX シリーズは次世代型の脅威対策ファイアウォールテクノロジーを採用してお

り、Sky ATP の脅威情報を統合します。さまざまな構成で利用でき、あらゆる規模のデータセンターに最適な

ファイアウォールです。スループットを最大 2 Tbps まで拡張できるので、最大規模のデータセンターにも対

応しています。

Juniper QFX シリーズスイッチは、トップオブラック、エンドオブロー、スパインアンドコアアグリ

ゲーションのいずれの導入形態にも対応した設計となっています。1 Gbps、10 Gbps、40 Gbps、100 Gbps の回

線速度に対応しており、1U および 2U の固定プラットフォームとして、あるいは、13U および 21U のモジュ

ールプラットフォームとして利用できます。対応するスループットは、1.44 Tbps から 96 Tbps までとなっ

ています。

Juniper EX シリーズスイッチは、統合された企業の支店、キャンパス、サービスプロバイダー、データセ

ンターの環境に対応するキャリアクラスのスイッチングソリューションです。1 Gbps、10 Gbps、40 Gbps、

100 Gbps の回線速度に対応しており、1U の固定プラットフォームスイッチとして利用できます。ポートのス

ループットは 56 Gbps で、24 ポートのモデルと 48 ポートのモデルがあります。バックプレーンでは、仮想

シャーシと 1.44 Tbps の転送レートをサポートします。また、4 スロット、8 スロット、14 スロット、16 ス

ロットのシャーシスイッチとしても利用可能で、シャーシあたり 13.2 Tbps の転送レートに対応していま

す。

Juniper MX シリーズ 3D ユニバーサルエッジルーターは、エッジアプライアンスのユニバーサルセットを

サポートするよう設計されており、ビジネスニーズや技術ニーズの変化に迅速に対応し、運用の簡素化を実現

します。帯域幅、利用者、サービスのスケーリングを可能にする Juniper Trio チップセットの採用により、



柔軟性が強化されています。このチップセットを利用することにより、ハードウェアをアップグレードせずと

も、新たな機能やプロトコルをサポートできます。

MX シリーズでは、Junos オペレーティングシステムを使用しており、豊富な IP/MPLSサービスや、一貫した

低遅延性、拡張性の高いワイヤレート転送を実現しています。Juniper Extension Toolkit によって、カスタ

マイズや自動化を可能にする最新のプログラミング言語やインターフェースを利用できます。MX シリーズル

ーターは、160 Gbps のスループットを実現する仮想ソリューションとして展開できるほか、2U の固定シング

ルプラットフォームから 45 U のフルラックソリューションにいたる、さまざまなフォームファクターの物

理ソリューションとしても利用できます。物理スループットは、20 Gbps から 80 Tbps まで対応しています。

ジュニパーのセキュリティデータプレーンは、Junos オペレーティングシステムをベースにしています。こ

のモジュラー型のシングルオペレーティングシステムは、ジュニパーのポートフォリオにおけるあらゆるネ

ットワークエレメントに対応しています。シングルコードベースのシングルオペレーティングシステムで

は、ネットワークの計画、評価、展開、拡張に必要な作業時間を短縮し、労力を軽減することができます。ま

た、Junos OS には、ネットワークのスイッチングとルーティング、ファイアウォールの操作をサポートする包

括的な機能セットも用意されています。さらに、統合型インサービス・ソフトウェア・アップグレード

（ISSU）を利用すれば、アップグレード時におけるダウンタイムを短縮し、リスクを最小限に抑えることがで

きます。Junos OS はプログラミング可能な環境であり、セキュアなプログラミングインターフェースや、ス

クリプト機能、Juniper Extension Toolkit（JET）をサポートするほか、DevOps 手法対応の現在普及している

オーケストレーションフレームワークと連携することができます。

ジュニパーの SDSN は、Security Director、Policy Enforcer、SRX シリーズファイアウォール、EX/QFX シ

リーズスイッチ、MX シリーズルーター、Sky ATP、Juniper Cloud から構成されています。このソリューシ

ョンでは、統合コードベース、自動化、連携機能、先進の脅威対策機能、マクロ視点のポリシー管理を統合し

て、ネットワーク全体で均一の保護を実現し、セキュリティ業務の担当者の作業時間を短縮し、負荷を軽減し

ます。

より大きな真実

ネットワークセキュリティやサイバーセキュリティは、単なる業界の流行語として片付けられるものではあり

ません。サイバーセキュリティの脅威は、その影響範囲を急速に拡大しており、巧妙さを増しています。デー

タの消失や収益の逸失、果ては事業そのものの崩壊といった被害をもたらし、現実の世界に影響を及ぼしてい

ます。この結果、ESG が 2013 年から毎年実施している IT 支出の意向調査において、優先すべき事項として

サイバーセキュリティが最も多く挙げられるようになっています3。

組織がサポートするデバイス、運用環境、アクセス手法、ユースケースが拡大するに伴い、サイバーセキュリ

ティ対策の重要性がこれまで以上にきわめて大きくなっています。急激に変化するテクノロジー、急増する攻

撃の回数や頻度、悪意ある攻撃者が初心者レベルから簡単に高度なスキルを身につけてしまうといった状況に

対応するため、セキュリティのプロフェッショナルは、多数の労力や時間を割かねばならなくなっています。

それゆえ、サイバーセキュリティのプロフェッショナルに対する需要は大いに高まっており、調査対象の組織

のほぼ半数が、サイバーセキュリティスキルの不足という問題を抱えていると述べています4。

組織が直面している課題の内容をさらに難しくしているのは、職務グループに自然な傾向として見られる分断

化の現象です。個々の職務グループが独自のヒエラルキーや専門分野、認定資格をもち、グループ内だけで通

3 出典：ESG Research Report、『2016 IT Spending Intentions Survey』、2016 年 2 月 4 同書

http://research.esg-global.com/reportaction/ITSI2016/TOC



じる言葉が存在します。職務グループの分断は、グループを横断したトレーニングの実施や、グループ間の連

携、グループ間のコミュニケーションを阻害するため、セキュリティが適用されない隙間の領域を生み出し、

サイバーセキュリティ環境の悪化を招くおそれがあります。

そして、この状況をさらに悪化させる課題がほかにも存在します。たとえば、その 1 つとして、手動プロセス

への依存が挙げられます。すでにスタッフの数は不足しているにもかかわらず、さらにスタッフが必要にな

り、組織内におけるヒューマンエラー発生のリスクが高まります。また、ヒューマンエラーは気づかないう

ちに環境に忍び寄るおそれがあるため、IT 業務の担当者は、ネットワークエレメントごとにセキュリティポ

リシーを管理しなければならなくなってしまいます。

これらの問題を含め、サイバーセキュリティ上の多くの問題の解決で他とは一線を画すソリューションがあり

ます。それが、ジュニパーネットワークスの Software-Defined Security Network（SDSN）です。SDSN は、ソ

フトウェア定義ネットワークの原理とアーキテクチャをネットワークセキュリティに拡張して、セキュリティ

環境の制御とセキュリティエンフォースメントを分離します。SDN がネットワークの制御に制御プレーンを使

用し、ネットワーク内のデータの移動にはデータプレーンを使うように、SDSN では、セキュリティポリシー

の管理にセキュリティ制御プレーンを使用し、マルウェアの検知やマルウェアからの攻撃の防御、セキュリテ

ィポリシーの適用には、セキュリティプレーンで対応します。ジュニパーネットワークスでは、SDSN をさら

に拡張し、制御プレーンとセキュリティプレーンの両方に、クラウドから取得した脅威情報を組み込んでいま

す。

ネットワーク内でネットワークセキュリティを統合するジュニパーの SDSN アーキテクチャは、ネットワーク

チームとセキュリティチームの協力とコミュニケーションを促進し、組織の分断化を解消します。また、SDSN

では、マクロレベルのセキュリティポリシーの策定が促進されるので、組織全体の保護が実現します。一方

で、このソリューションは、マクロ視点のポリシーをミクロ視点のポリシーへと変換し、ネットワークエレメ

ントごとに適用することも可能です。さらに、マクロ視点のポリシー管理は、マクロレベルでデータを視覚化

する先進のデータビジュアライゼーション機能によって強化されるので、脅威の全容と組織のセキュリティの

状況を広範に把握できるようになります。

SDSN では、自動化が広くいきわたっています。Sky ATP の連携機能では、制御プレーンとセキュリティプレ

ーンで、ポリシーや検知機能、防御機能を自動的にアップデートすることができ、個々のエレメントに対し、

最新の脅威情報を提供することが可能です。また、このソリューションでは、ネットワーク全体を通じ、あら

ゆる種類のネットワークエレメントごとにセキュリティポリシーの定義と適用のプロセスを自動化すること

ができます。すべてのエレメントが API を提供しているため、自動化がサポートされるほか、DevOps や

OpenStack をはじめとする、最新の IT 環境や手法との連携も可能です。

SDSN は、ネットワークセキュリティの適用や強化の業務を簡素化し、サイバーセキュリティ業務の担当者に

求められる業務量を抑えます。自動化によって、ヒューマンエラーの起こる可能性が減り、最新のセキュリテ

ィが確保される一方、ソリューション全体にわたって、マクロレベルで考えながら業務を遂行できるようにな

るため、ネットワークのセキュリティが全面的に強化されます。自社のサイバーセキュリティスキルの不足の

問題を解消すると同時に、セキュリティを強化できるテクノロジーが SDSN と言えるでしょう。


すべての商標名は、それぞれの所有者に帰属します。本書に記載されている情報は、The Enterprise Strategy Group （ESG）が信頼できると

判断した情報源から取得したものですが、ESG がこれを保証するものではありません。本書には ESG の見解が含まれていますが、適宜変更さ

れることがあります。本書の著作権は、The Enterprise Strategy Group, Inc. に帰属します。The Enterprise Strategy Group, Inc. の明示

的な承諾を得ずに、本書の一部またはすべてを、受領を許可されていない第三者向けにハードコピー、電子的手段またはその他の方法で複製あ

るいは再配布した場合は、米国著作権法を侵害したものとみなされ、民事訴訟、および該当する場合は刑事訴訟の対象となります。ご質問等に

つきましては、ESG Client Relations（お客様窓口）（電話番号：508-482-0188）までお問い合わせください。

www.esg-global.com [email protected]

508-482-0188

Enterprise Strategy Group は、IT に関する分析、研究、評価、戦略の策定を主な業務内容としてお

り、すぐに現場で役立つインサイトや情報を、IT コミュニティへとグローバルに提供しています。


はじめに課題不足するサイバーセキュリティのスキル分断する組織手動プロセスの問題情報の視覚化ソリューションの統合とマクロの視点からのポリシーの定義

ジュニパーの SDSNSDSN アプローチさまざまな課題に対応するジュニパーネットワークスの SDSNセキュリティ制御プレーン：Security Director と Policy EnforcerSky Advanced Threat Preventionセキュリティデータプレーン：SRX シリーズファイアウォール、EX/QFX シリーズスイッチ、MX シリーズルーター

より大きな真実

ホワイトペーパー Software-Defined Secure Network SDSNホワイトペーパー：Software-Defined Secure Network 3 © 2017 by The Enterprise Strategy Group, Inc. All Rights

Documents