1．仮想セキュアネットワーク空間プラットフォームの概要

1.1　背景

2010年頃，多くの企業がネットワーク運用に対して，費用面でも運用面でも課題を抱えていた時代である．当時は，ネットワーク機器本体のほか，その設定作業費までもが高額であり，さらに機器の設定には専門性が要求された．これは構築時のみならず，再設定時にも同様であり，「ネットワークの設定変更が容易に行えない」という課題には，そうした背景があった．そして現在，新型コロナウイルスの感染拡大に伴い，テレワークが広く普及し，働き方が大きく変化した．しかし，企業ネットワークはこの変化についていけず，場あたり的な対応をしたため，あらゆるところに課題が存在している．特にこれまでのネットワークアーキテクチャ，企業ネットワークとインターネットの間に境界を設け，その境界のセキュリティを高める構成は，最適ではなくなった．これはテレワークの普及により社外からのアクセスを受け入れる必要性が現れたこと，データの置き場所が社内からクラウドへ変化したためである．こうした状況において，仮想セキュアネットワークは企業ネットワークの課題を解決する策の1つとなる．

1.2　企業ネットワークの課題

これまでのネットワークは，オフィスにルータやファイアウォール，スイッチを設置し，適切なネットワークアドレスを割り当て，その上でルーティング，アクセス制御を実施していた．その設定は個別のネットワーク機器内で実施される．もし本社のネットワークアドレスを変更したい場合，新しい事務所が立ち上がった場合など，少しの変更であっても全ネットワーク機器の設定変更をしなければならない場合がある．そのため，簡単には設定変更できず，さらに現地でしか設定ができないため移動コストも発生する．また，設定は，各機器に用意されているコマンドを使って実施する．そのため，スペシャリストの派遣が必要となり，その作業費用は高額となる．このようにこれまでのネットワークには，コストの問題で容易に変更ができない課題が存在していた．

さらに，セキュリティ上の課題も昨今顕在化した．テレワークの普及により，従業員がオフィス以外で仕事をし始めたためである．これまでのネットワークは，オフィスで仕事をすることを前提に，企業ネットワークの中は安全となるよう，インターネットとの境界にFW（ファイアウォール）を設け，Proxyなどさまざまなセキュリティ対策を実施してきた．これらは外で仕事することを前提にしていない．その結果，テレワークの普及により，上記のセキュリティ対策は破綻しかけている．昨今，外から企業ネットワークへ安全にアクセスするため，リモートアクセスVPNを導入する企業が増加している．VPNは通信経路上を暗号化することで，セキュリティを高める技術であるが，そのVPN機器を狙った攻撃が増加している．実際，VPN機器の脆弱性を攻撃し，その機器で利用しているIDとパスワードが流出し，ダークWebでそのID情報が売り買いされていた．このように，テレワークを安全にするためのVPNにおいてもセキュリティ上の課題が存在する．

1.3　提案手法

ネットワークの変更にかかるコスト問題を解決するため，リモートからネットワーク機器を統合管理するクラウド管理センタを提案する．これにより，ネットワーク機器をリモートから設定変更できるようになり，現地までの移動コストを削減する．

また，現代において一から新規にネットワークを構築することは少ない．そのため，全ネットワーク機器を入れ替えてもらうような構成では提案がしにくい．そこで，既存ネットワークの上に，仮想的なネットワークを構築する手法を提案する．仮想ネットワーク上で新たにネットワークアドレスの払い出し，ルーティングやアクセス制御を実施することで，仮想的に企業ネットワークを構成する（図1参照）．その結果，既存ネットワークはそのままに，インターネット環境さえあれば企業ネットワークを構築できるため，ネットワークの複雑な設定を不要とし，シンプルにすることができる．また，企業ネットワークはオフィス内に限られるという物理的な制約から開放され，自宅やカフェなどあらゆるところに企業ネットワークを拡張し，多様な働き方を実現できる．

さらに仮想ネットワークへのアクセスには，認証強度の高い証明書とID/passwordによる2要素の認証を採用することでセキュリティレベルが向上する．そしてVPN機器を狙った攻撃を回避するため，VPN機器はアクセスの入り口となるポートを常に遮断しておき，攻撃されないよう対策を実施する．

1.4　仮想セキュアネットワーク空間プラットフォーム「amigram」

前節に述べた課題を解決するために仮想セキュアネットワーク空間プラットフォーム「amigram」を開発した．「amigram」は，既存ネットワーク上に仮想空間を構成し，セキュアで柔軟な独自のネットワークを構築するプラットフォームである．構成要素は，パソコンやスマートフォンなどのデバイスにインストールするソフトウェア，仮想セキュアネットワークへの入り口となるゲートウェイ，そしてこれらをコントロールするクラウドセンタの3つとなる．

1.4.1　マルチテナント型クラウドセンタ

デバイスにインストールするソフトウェア，ゲートウェイはすべて，クラウド上の管理画面により設定，および管理される．このクラウドセンタはWebサイトとしてGUIで提供され，ルーティングやアドレス設計，アクセス制御，VPN接続など，あらゆる場所に点在するすべてのデバイス，ゲートウェイの設定をすることができる．従来のネットワーク機器はCUIで各機器に設定する必要があったのに対し，本技術のクラウドセンタにより，GUI上で離れた拠点の機器もリモートから設定できるため，技術員の移動コストを削減した．そして，このクラウドセンタはマルチテナント型であり，各企業が個別にクラウドセンタを構築する必要がないのも利点である．

また，クラウド管理のもう1つの利点として，拠点への機器導入が簡単であるということが挙げられる．デバイスやゲートウェイをクラウドセンタに登録するだけで，自動的に設定が展開され，構築が完了する．作業員のITリテラシーの有無に左右されない方法であり，たとえば飲食店の店長でも対応可能である．その結果，従来のように現地へ技術者を派遣する必要がなくなり，移動コストの削減につながる．

1.4.2　仮想セキュアネットワーク

既存ネットワークの上に新たに仮想的なネットワーク空間を構築することで，どこにいても同じネットワーク空間を構築する．仮想空間上では，IPアドレスの払い出し，名前解決，ルーティング，アクセス制御が提供される．これにより，オフィスという物理空間から解放され，どこでも同じ環境で仕事ができるようになる．

1.4.3　証明書による強固な認証システム

仮想ネットワークへアクセスするには，すべてクライアント証明書による認証を通過する必要がある．このクライアント認証機構を標準搭載することで，アクセスできるデバイスを制限し，セキュアなネットワーク空間を実現している．

従来，社外から社内ネットワークへセキュアにアクセスする方法として，リモートアクセスVPNが利用されるケースが多い．その場合，ID/Passwordによる認証を採用されることが多く，クライアント証明書による認証は採用されにくい．これは，クライアント証明書認証の導入には，認証局サーバの構築や証明書管理など導入コストや運用体制が課題であったからだ．しかし，リモートアクセスVPNは，社内ネットワークへの入り口であることを考慮すると，セキュリティ強度を高く設定しておくべきだ．ID/Passwordによる認証では，総あたり攻撃で突破される可能性やID/Passwordが流出する可能性が存在するためである．

amigramでは，クライアント証明書を標準搭載することにより，このような課題を克服した．そして現在は，クラウドサービスの普及によりIDaaS（ID as a Service）という市場が注目を集めている．IDaaSは，すべてのクラウドサービスを1つのIDで認証するサービスである．IDを統合管理することにより，セキュリティレベルの向上と運用面の効率化を目的としている．これまでamigramはクライアント証明書による認証機構を独自に提供してきたが，今後はIDaaSとの連携機能を開発することで，利用者のID管理をIDaaSへ統合し，さらに簡便化させる予定だ．

1.4.4　独自のセキュリティ機能

テレワークの普及により，VPNルータを狙ったサイバー攻撃が増加している．従来，リモートアクセスVPNの入り口となるVPNゲートウェイは，VPN接続をするためのポートを常に開放した状態で運用される．攻撃者はこの「開いた状態のポート」を狙って，企業ネットワークへの不正アクセスを試みる．実際にVPNゲートウェイの脆弱性を狙った攻撃により，登録されているID/Passwordが流出する事件があった．この対策として，VPNゲートウェイメーカーが提供するセキュリティパッチを定期的に適用することが効果的であるが，そのパッチの適用には，いくつか課題が存在する．セキュリティパッチがメーカーから提供されていることを定期的にチェックする体制が必要であること．セキュリティパッチの適用時にはネットワークが停止する場合もあり，いつでも適用できるわけではないこと．セキュリティパッチの適用には専門的な知識が必要であること．こういった理由から，脆弱性を放置してしまうケースが多々存在する．

そこで，amigramは上記の課題を克服するため，ダイナミックポートコントロール機能（図2参照）を開発した．本機能は，クラウドセンタで認証を通過したデバイスからのVPNアクセス時のみIPアドレス制限／時間制限でゲートウェイのポートを解放する機能である．これにより，インターネットからのアクセスポートは基本的には閉じている状況となり，もし脆弱性があったとしても，ゲートウェイと通信する手段がないため，脆弱性を突かれた攻撃を仕掛けられなくなる．その結果，セキュリティパッチ適用の頻度を抑え，適用するタイミングを調整することが可能となった．そして，amigramでは，利用者によるパッチ適用ではなく，我々がパッチを適用することで，パッチ運用の煩雑さから解放した．

2．amigramの商用版「Network All Cloud」

amiramの技術を流用し，商用化したのが「Network All Cloud」（図3参照）である．

2.1　Network All Cloudの商用的特徴

2.1.1　リモートからのフルマネージドサービス

Network All Cloudで使用されるすべてのネットワーク機器は，クラウド管理センタ（CAS-Center）から一括管理される（図4参照）．設計・構築のみならず，機器のメンテナンス，設定変更，障害対応まで，経験豊富なネットワークのプロが直接サポートすることで，担当者の負担を大幅に軽減することができる．

2.1.2　スピード導入

Network All Cloudのクラウド管理センタは，SaaSとして提供しているため，導入時のクラウドコントローラの構築が不要である．また，設定済みの機器を発送するため，届いた機器にLANケーブルを挿すだけで導入が完了する（図5参照）．

2.1.3　安心の価格設定

これまでのネットワーク導入の価格は，機器費用や構築費用，機器保守費用などたくさんの費用が発生していた．また，オフィスのレイアウト変更でIPアドレスの変更が必要など，突発的に設定変更費用が発生していた．一方，Network All Cloudは，機器購入費と月額費用のみとシンプルな価格設定（図6参照）としている．設計，構築の費用，その後の設定変更費用をあらかじめ保守費用にすべて含めることによって，設定変更やバージョンアップなど突発的に発生する費用を考慮する必要がなくなる．

2.2　Network All Cloudの導入実績と事例

Network All Cloudの導入企業は延べ2,000社を超える．これまでのネットワークで課題であった運用コストを抑えることに成功したこと，そしてテレワークの普及により企業ネットワークを見直す必要性が出てきたことが導入企業数を増加させた要因である．運用コストを抑えた事例として，ゼネコンへの導入事例がある．ゼネコンでは工事現場に併設する事務所を有期的に開設する．これまでは工事が決まるたびにネットワーク機器を手配し，現地へ出張して設定をする作業が発生していた．これには少なく見積もっても，機器の手配，移動，設置に3営業日必要であり，300を超える現場事務所を持つ当ゼネコンでは重大な課題であった．一方，Network All Cloudでは，工事が決まれば当社のサポートへ連絡するだけでよいため，1時間もあれば手配が完了する．そして，現場の方でも機器の設置ができるため，作業員が向かう必要がなく移動コストも発生しない．また，運用中にトラブルがあった際もリモートから対応できるため，現場へ駆けつける必要がなくなった．その結果，情報システム部門は煩雑な運用から解放され，本来取り組むべき，IT戦略の推進に時間を割くことができるようになった．

3．これからの取り組み

これまでネットワーク担当者の運用負担を軽減する，そして仮想ネットワークを構成し，セキュリティレベルを向上するという2点を目標に研究開発を実施してきた．その結果，クラウドセンタによる管理手法と独自のセキュリティ対策機能を開発した．そして今後はシステムから吐き出される「ログ」を活用し．進入されることを前提としたセキュリティ対策機能の開発を実現させたい．これは，巧妙化するサイバー攻撃犯罪に対し，100％の防御は成り立たないという考えから，侵入される前提の対策まで整えておくべきだという考え方だ．これまでのamigramのセキュリティ機能追加は，進入されないようクライアント証明書の認証などの機能を追加してきたが，仮想ネットワークへ絶対に進入されないとは言い切れない部分もある．たとえば，仮想ネットワークへのアクセスが許されたデバイスが攻撃者にリモートから操作されている場合，このデバイスのアクセスを停止する機構は存在しない．そこで，通信ログや認証ログ，デバイスの状態などをクラウドセンタに収集し，AIを用いて解析することでデバイスが不正利用されていないか，仮想ネットワークへ不正に進入されていないかについて，ただちに検知できる機能追加を検討中である．さらに，昨今Microsoft 365などのクラウドサービスを採用する企業が増えている．そういった企業からFQDN（Fully Qualified Domain Name）によるブレイクアウト機能を要望されることが多い．これは，社内ネットワークの通信負荷軽減のため，クラウドサービスは社内ネットワーク経由ではなく端末から直接アクセスしたいという要望だ．しかし，FQDNでブレイクアウトさせるためには，2つの課題が存在する．ルーティングによる制御はIPアドレスレベルで制御され，FQDNでは制御できないこと，FQDNを名前解決するタイミングでIPアドレスが変わることである．本機能を達成するためには，FQDNの名前解決したパケットをキャプチャし，そこに含まれるIPアドレスを動的にルーティング設定させる必要がある．技術的に難しい機能ではあるが，このような機能を追加していくことで，2025年までに5,000社への提供を目指したい．

4．DX化を見据えて

日本のIT人材不足は大きな社会問題となっている．DX（デジタルトランスフォーメーション）化の推進により，ビジネスモデルの変革や業務改革などのIT戦略を強化しなければ，国際的な競争力も失われてしまうだろう．しかし，IT戦略を推進していく情報システム部の担当者のリソースは有限である．限りある労力をDX推進に割くためには，オンプレミス型ネットワークの運用体制では間に合わない．「amigram」はそうした運用管理者の負担を，少しでも軽減するために研究開発された技術である．すべての企業が「ITインフラの運用負荷から自由になる」日を目指して，企業，ひいては日本の発展に貢献するべく，今後もより一層，研究に励んでいく．