CiscoのDNAに生まれ始めた「オープン」の遺伝子：キーワードは「セキュリティ」と「オープン」（2/2 ページ）

ネットワークエンジニアとWeb開発者の距離を縮める取り組み

　ウィー氏は「確かにシスコはこれまでクローズドな印象を持たれていたかもしれない」と振り返りつつ、「これからはオープン化を進め、ソフトウェアを介して、これまでSDNという形で提唱されてきた仕組みも含めてインフラを制御することにより、多くのイノベーションや価値を生み出すことを目指す」と説明した。「インフラも、ビジネスバリューの提供者になることができる」（同氏）。

シスコ バイスプレジデント兼CTOスージー・ウィー氏

　ウィー氏によれば、シスコがDevNetに取り組み始めたのは、2年半前にさかのぼるという。同氏は社内でその必要性を繰り返し訴え、とうとう前CEO、ジョン・チェンバース氏の理解を得てプロジェクトを推進するに至ったそうだ。ヨーロッパで行われたCisco Liveで初めてDevNetコーナーを披露したところ、大変な盛況となったという。それだけ、「ネットワークをプログラムしたい、コードとして扱いたい」というニーズが存在していたということだろう。ウィー氏は、「多くの開発者やパートナーを巻き込んだエコシステムも、DevNetによって価値を生み出していく際には欠かせない」とも説明した。

　そのためシスコでは、DevNet専門のポータルサイト（関連リンク）を設け、さまざまなリソースを公開している他、開発者が作成したコードを、テスト用のルーターやスイッチ、コンタクトセンターなどの機器を用いて試せる「Sandbox」を提供している。さらに、ハッカソンやブートキャンプなども開催し、開発者との距離を縮めようとしている。それも、ネットワークエンジニアがWeb APIを活用するためのコンテンツと、Webアプリケーション開発者がネットワークをプログラムするためのコンテンツ、両方のアプローチを用意していることが特徴だ。

　中でも同社の本気度がうかがえるのは、ネットワークエンジニア向けの資格「CCIE（Cisco Certified Internetwork Expert）」に、新たにネットワークプログラミングに関する試験「Cisco Network Programmability Engineer Specialist」を設けたことだ。これらの取り組みを通じて、既に約40万人いるという開発者の裾野をさらに広げ、「イノベーションのエコシステムを実現し、もっともっとたくさんの価値を提供していきたい」とウィー氏は述べる。

セキュリティにもシンプル、オープン、自動化を

　企業のデジタルトランスファーを支えるCisco DNAにおいて、「オープン」と並んでたびたび言及されたのが「セキュリティ」だ。IT全般と同様に、セキュリティも単なるコストセンターではなく、企業の戦略を実現する上で欠かせないものであり、革新を進めるための要素の1つと捉えられるようになっている。

　だが一方で、既存のセキュリティ対策にはさまざまな課題が残されている。最も担当者を悩ませているのは、多層防御を進めるあまり、セキュリティが非常に“複雑化”してしまっていることだ。

　シスコのセキュリティ事業 プロダクトマネジメント担当バイスプレジデントのスコット・ハレル氏は、「何十ものベンダーが提供する何十種類ものセキュリティ製品を導入した結果、効果との間にギャップが生じている。製品を追加すればするほど複雑さは増していくのに、得られる効果は頭打ちだ」と述べ、シンプルかつオープンで、自動化可能なセキュリティが求められていると説明した。こうした課題の解決に向け、シスコは複数の新製品を発表した。

　例えば「Cisco Defense Orchestrator」では、複数の拠点に導入されたセキュリティ機器の設定や管理を、クラウド側で一括して行えるようにする。また、もともとクラウドベースで設定でき、シンプルに運用できることを特徴としていたCisco Merakiに、ソースファイアで培ってきたマルウェア検出機能「Cisco AMP（Advanced Malware Protection）」や脅威情報の共有機能「Thread Grid」を追加することで、マルウェアに感染した恐れのある端末を、過去にさかのぼって速やかに特定し、対処するとともに、それ以上の拡散を防止するといった作業もシンプルに行えるようにした。

　同時に、脅威情報を速やかに共有する仕組みも用意している。シスコならではの武器として、DNS情報を活用することが挙げられる。「DNSは基本的なプロトコルの1つであり、あらゆるデバイスがDNSを利用している。DNSトラフィックを把握することで、あらゆる通信を可視化できる。これまであまり行う企業はなかったが、このDNSを保護レイヤーとして活用することこそ、正しく、かつ簡単な方法だ」（ハレル氏）。

　こうした考え方に基づいた新製品が「Cisco Umbrella Roaming」と「Cisco Umbrella Branch」だ。VPNクライアントの「Cisco AnyConnect」と、拠点向けルーター「Cisco ISR」に、DNS情報を検索する際、不正なWebサイトやC&Cサーバへのクエリが含まれていないかをチェックし、ブロックすることで、未然にマルウェア感染を防止する。

「Cisco Umbrella Branch」のデモ。DNS情報を参照し、不正なサイトへアクセスを試みるとブロックする仕組みだ

　さらに、シスコがこれまで蓄積してきた脅威インテリジェンスや、「StealthWatch」で収集するフロー情報に加え、分散型機械学習技術を活用して異常な挙動を検出する「Cisco StealthWatch Learning Network License」から得られる情報も反映することで、複雑さを増すことなく、セキュリティ強化を支援していくというのが、一連の新製品の全体像だ。

シスコ セキュリティ事業 シニアプロダクトマーケティングマネージャ ベン・ムンロー氏

　シスコのセキュリティ事業 シニアプロダクトマーケティングマネージャのベン・ムンロー氏は、「ランサムウェアのような新しい脅威も登場している。これらに対処するには、ポイントポイントの製品で防御を試みるのではなく、統合されたアーキテクチャ上で脅威インテリジェンスやコンテキストデータを共有し、一度見つけたものをあらゆるところでブロックしていくことが重要だ」と述べた。

　そしてこの役割を果たす上で、前述のDNSほど強力な手段はないという。ムンロー氏は「DNSは、攻撃者に対する防御の最前線。DNSを活用した防御や、クラウドを用いた一元的なセキュリティ管理は、桁違いの数のデバイスがつながるIoTの分野でセキュリティを確保していく上でも有効だ」と説明した。

DNSを活用したセキュリティのコンセプト

　ムンロー氏はまた、「セキュリティにおいても“オープンであること”が重要だ」と述べる。既にシスコでは「Cisco PX-GRID（Platform Exchange Grid）」を介して、StealthWatchをはじめとするシスコの製品群やRapid7などのサードパーティ、さらにはSnortなどのオープンソースコミュニティとの間で、脅威の兆候に関する情報（IoC）を共有する枠組みを提供している。「Cisco PX-GRIDというAPIを活用することで、対応を自動化し、防御に要する時間を短縮するといった取り組みを通じて、現在は十分ペイする状況になっている攻撃者のコストを高め、見合わないものにしていくことが大切だ」（同氏）。

　また、Cisco Live 2016のインフラネットワークの運用をつかさどるNOCでも、Cisco DNAの新製品群が活用された。40Gbpsクラスのバックボーンを用意し、640台ほどのスイッチで構成されたCisco Liveのネットワークには、ピーク時には約1万5000台ものデバイスが無線LANで接続していたという。中には、もともとマルウェアに感染していたデバイスが持ち込まれたためか、不審な挙動も見られたそうだ。

Cisco Live 2016のネットワーク基盤兼デモンストレーションの場として機能したNOC

　シスコのNOCチームではこれに対して一連のセキュリティ製品群を活用し、参加者とネットワークそのものの保護を図った他、クラウドやテンプレート機能を用いて設定・管理作業を簡素化し、さらにはSpark APIも利用することで障害対応の省力化を図ったという。

　Cisco Live 2016に見られたシスコの新たな取り組みの数々。変化を目指す同社の今後の動向に、引き続き注目したい。