ここから本文です

CiscoのDNAに生まれ始めた「オープン」の遺伝子

@IT 7月25日(月)7時10分配信

 「Infrastructure as Code」といった言葉が広がる中、ネットワークは長らく“取り残された領域”という扱いを受けてきた。サーバやストレージといったリソースで仮想化が進み、ソフトウェアを用いた柔軟なプロビジョニングなどの制御ができるようになった一方で、ネットワークを構成するルーターやスイッチ機器は、ハードウェアとソフトウェアを垂直統合したプロプライエタリな製品で占められてきた。

【その他の画像】Cisco DNAのアーキテクチャ

 最近でこそ、ホワイトボックススイッチ(ベアメタルスイッチ)とネットワークOSの組み合わせが注目を集め始めているが、それもまだ一部の先進的な企業での採用が始まった段階に過ぎない。ChefやPuppet、Ansibleといったインフラ自動化ツールや、OpenStackをはじめとするクラウドオーケストレーションのためのツールを用いて、サーバやストレージと同じようにネットワークを制御する方法を模索し続けているのが現状だ。

 このように、インフラ全体をオープン化し、プログラム可能な形を目指そうとする潮流が強まる中、どちらかというと消極的な印象を持たれがちだったネットワーク業界と米シスコシステムズ(シスコ)だが、同社は2016年7月に開催した「CiscoLive 2016」において、ネットワークにはプログラマビリティが必要であると明言し、開発者向けのさまざまな取り組みを紹介した。

●「Cisco DNA」を特徴付ける2つのキーワード

 シスコでは企業のデジタルトランスフォーメーションを支える基盤としてネットワークを位置付けている。同社のCEO チャック・ロビンス氏は、企業がデジタルトランスフォーメーションを加速し、新たな価値を生み出す基盤として、セキュリティや自動化といった要素を備える「デジタルレディネットワーク」が必要だと解説。それを具現化する存在として「Cisco Digital Network Architecture(DNA)」の強化を発表している。

 Cisco DNAには幾つかのコンセプトがあるが、中でもロビンス氏が強調したキーワードが2つある。1つは、後付けでなく初めから組み込まれた「セキュリティ」。もう1つが「オープン」だ。

 これまでのシスコのアプローチからすると意外にも思えるが、今回のイベントで同社は、各種APIやツールを公開し、開発者コミュニティと協調しながら「プログラム可能なネットワーク」を実現していくという姿勢をさまざまな場面で示した。

 もちろん、「より多くの帯域やデバイスを扱う以上、ハードウェアの力はまだまだ必要だ」(ロビンス氏)。ただ、これまでにない革新的なアプリケーションを実現し、トランスフォーメーションを加速するには、「ハードウェアとソフトウェア、双方のバランスを取った、よりオープンでシンプルなネットワークが必要だ」(同氏)という。

 シスコのネットワーキングおよびセキュリティ事業担当シニアバイスプレジデント兼ジェネラルマネージャ、デビッド・ゴックラー氏は、「デジタルトランスフォーメーションを実現するには、ネットワーク業界自体のトランスフォーメーションも必要だ。Cisco DNAによって、真に柔軟で、オープンで、プログラマブルなネットワークを実現する」と述べている。

 また、エンタープライズインフラストラクチャならびにソリューショングループ担当シニアバイスプレジデント、ジェフ・リード氏は「Cisco DNAでは、顧客やパートナーが活用可能なオープンなAPIを提供する。これによってさまざまな洞察を得ることができ、アジリティやセキュリティも実現できる」と述べた。

 「過去、ネットワーク担当者とソフトウェア担当者は別々に分かれており、仲もそんなに良くなかった。それが自動化やプログラマビリティによって大きく変化しようとしている。ネットワークもソフトウェアも分かるインフラエンジニアによって、バリューチェーンが構築されるだろう」(リード氏)

●開発者会議のような雰囲気を醸し出した「DevNet」コーナー

 そうした言葉を裏打ちするように、CiscoLive 2016の会場には「DevNet」コーナーが設けられ、大きなスペースが割かれていた。PythonやRuby on Rails、GitHubにPostmanといったツールを活用し、開発手法を学ぶワークショップが連日開催され、まるでアプリケーション開発者会議のような雰囲気を醸し出していた。

 シスコは既に、さまざまなアプリケーションからREST APIを介してソフトウェアやハードウェアを活用できるよう、複数のAPIを公開しているという。

 ネットワークを制御するAPIC-EMやNETCONF/RESTCONFにはじまり、同社のビジネスコミュニケーションツール「Cisco Spark」の他、「Cisco Jabber」や「Cisco Tropo」といったコラボレーションツールを活用できるAPI、またコンタクトセンターと連携したり、クラウドベースの無線LANアクセスポイント「Cisco Meraki」の位置情報を取得したり、InfoBloxの脅威インテリジェンス情報を活用したりできるものまで、その範囲は非常に幅広い。シスコはこれらを通じて、クラウドとネットワーク、セキュリティをプログラム可能なものにしていくという。

 DevNetの会場では、これらのAPIの活用法も紹介された。例えば、ロケーションAPIを活用してアクセスポイントからリアルタイムに情報を収集し、「今、何台のデバイスが接続されているか」「障害が起こっている端末はどれか」を確認したり、BGPの経路情報をグラフィカルに表示するインタフェースを提供するといったものだ。

 中でも最も印象的だったのは、AR/VRを組み合わせてコラボレーションを行うためのフレームワーク「EVAR(Enterprise Virtual and Augmented Reality)」の活用例だ。会場では、本社エンジニアと地方拠点の担当者が3Dディスプレイを装着し、目の前にある機器の状況をネットワーク経由で共有することで、リアルタイムに状況を把握しながらリモートメンテナンスを行うデモンストレーションが実施された。これが活用できれば、ラインカードの交換やポートへの接続といった作業を進めるのに、電話などで“もどかしく”指示する必要がなくなる。

 シスコのバイスプレジデント兼CTOのスージー・ウィー氏は「これらは単に技術上の問題を解決するだけでなく、サービスの品質や顧客満足度を向上させ、ビジネス上の問題を解決することができる」と述べている。

 またウィー氏はDevNetの次の段階として、「IoTやAR/VR、ボットといったテクノロジーとの連携によって、さらに可能性は広がる」と説明した。同氏は、Sparkを介してボットと対話しながら、さまざまなセンサーを備えた電車の模型を制御するデモンストレーションを紹介し、「APIを介してさまざまなものをデジタル化できる。DevIoTを通じて、本当の輸送機関やビル、製造ラインなどをコントロールすることも可能になる」と述べた。

●ネットワークエンジニアとWeb開発者の距離を縮める取り組み

 ウィー氏は「確かにシスコはこれまでクローズドな印象を持たれていたかもしれない」と振り返りつつ、「これからはオープン化を進め、ソフトウェアを介して、これまでSDNという形で提唱されてきた仕組みも含めてインフラを制御することにより、多くのイノベーションや価値を生み出すことを目指す」と説明した。「インフラも、ビジネスバリューの提供者になることができる」(同氏)。

 ウィー氏によれば、シスコがDevNetに取り組み始めたのは、2年半前にさかのぼるという。同氏は社内でその必要性を繰り返し訴え、とうとう前CEO、ジョン・チェンバース氏の理解を得てプロジェクトを推進するに至ったそうだ。ヨーロッパで行われたCiscoLiveで初めてDevNetコーナーを披露したところ、大変な盛況となったという。それだけ、「ネットワークをプログラムしたい、コードとして扱いたい」というニーズが存在していたということだろう。ウィー氏は、「多くの開発者やパートナーを巻き込んだエコシステムも、DevNetによって価値を生み出していく際には欠かせない」とも説明した。

 そのためシスコでは、DevNet専門のポータルサイト(関連リンク)を設け、さまざまなリソースを公開している他、開発者が作成したコードを、テスト用のルーターやスイッチ、コンタクトセンターなどの機器を用いて試せる「Sandbox」を提供している。さらに、ハッカソンやブートキャンプなども開催し、開発者との距離を縮めようとしている。それも、ネットワークエンジニアがWeb APIを活用するためのコンテンツと、Webアプリケーション開発者がネットワークをプログラムするためのコンテンツ、両方のアプローチを用意していることが特徴だ。

 中でも同社の本気度がうかがえるのは、ネットワークエンジニア向けの資格「CCIE(Cisco Certified Internetwork Expert)」に、新たにネットワークプログラミングに関する試験「Cisco Network Programmability Engineer Specialist」を設けたことだ。これらの取り組みを通じて、既に約40万人いるという開発者の裾野をさらに広げ、「イノベーションのエコシステムを実現し、もっともっとたくさんの価値を提供していきたい」とウィー氏は述べる。

●セキュリティにもシンプル、オープン、自動化を

 企業のデジタルトランスファーを支えるCisco DNAにおいて、「オープン」と並んでたびたび言及されたのが「セキュリティ」だ。IT全般と同様に、セキュリティも単なるコストセンターではなく、企業の戦略を実現する上で欠かせないものであり、革新を進めるための要素の1つと捉えられるようになっている。

 だが一方で、既存のセキュリティ対策にはさまざまな課題が残されている。最も担当者を悩ませているのは、多層防御を進めるあまり、セキュリティが非常に“複雑化”してしまっていることだ。

 シスコのセキュリティ事業 プロダクトマネジメント担当バイスプレジデントのスコット・ハレル氏は、「何十ものベンダーが提供する何十種類ものセキュリティ製品を導入した結果、効果との間にギャップが生じている。製品を追加すればするほど複雑さは増していくのに、得られる効果は頭打ちだ」と述べ、シンプルかつオープンで、自動化可能なセキュリティが求められていると説明した。こうした課題の解決に向け、シスコは複数の新製品を発表した。

 例えば「Cisco Defense Orchestrator」では、複数の拠点に導入されたセキュリティ機器の設定や管理を、クラウド側で一括して行えるようにする。また、もともとクラウドベースで設定でき、シンプルに運用できることを特徴としていたCisco Merakiに、ソースファイアで培ってきたマルウェア検出機能「Cisco AMP(Advanced Malware Protection)」や脅威情報の共有機能「Thread Grid」を追加することで、マルウェアに感染した恐れのある端末を、過去にさかのぼって速やかに特定し、対処するとともに、それ以上の拡散を防止するといった作業もシンプルに行えるようにした。

 同時に、脅威情報を速やかに共有する仕組みも用意している。シスコならではの武器として、DNS情報を活用することが挙げられる。「DNSは基本的なプロトコルの1つであり、あらゆるデバイスがDNSを利用している。DNSトラフィックを把握することで、あらゆる通信を可視化できる。これまであまり行う企業はなかったが、このDNSを保護レイヤーとして活用することこそ、正しく、かつ簡単な方法だ」(ハレル氏)。

 こうした考え方に基づいた新製品が「Cisco Umbrella Roaming」と「Cisco Umbrella Branch」だ。VPNクライアントの「Cisco AnyConnect」と、拠点向けルーター「Cisco ISR」に、DNS情報を検索する際、不正なWebサイトやC&Cサーバへのクエリが含まれていないかをチェックし、ブロックすることで、未然にマルウェア感染を防止する。

 さらに、シスコがこれまで蓄積してきた脅威インテリジェンスや、「StealthWatch」で収集するフロー情報に加え、分散型機械学習技術を活用して異常な挙動を検出する「Cisco StealthWatch Learning Network License」から得られる情報も反映することで、複雑さを増すことなく、セキュリティ強化を支援していくというのが、一連の新製品の全体像だ。

 シスコのセキュリティ事業 シニアプロダクトマーケティングマネージャのベン・ムンロー氏は、「ランサムウェアのような新しい脅威も登場している。これらに対処するには、ポイントポイントの製品で防御を試みるのではなく、統合されたアーキテクチャ上で脅威インテリジェンスやコンテキストデータを共有し、一度見つけたものをあらゆるところでブロックしていくことが重要だ」と述べた。

 そしてこの役割を果たす上で、前述のDNSほど強力な手段はないという。ムンロー氏は「DNSは、攻撃者に対する防御の最前線。DNSを活用した防御や、クラウドを用いた一元的なセキュリティ管理は、桁違いの数のデバイスがつながるIoTの分野でセキュリティを確保していく上でも有効だ」と説明した。

 ムンロー氏はまた、「セキュリティにおいても“オープンであること”が重要だ」と述べる。既にシスコでは「Cisco PX-GRID(Platform Exchange Grid)」を介して、StealthWatchをはじめとするシスコの製品群やRapid7などのサードパーティ、さらにはSnortなどのオープンソースコミュニティとの間で、脅威の兆候に関する情報(IoC)を共有する枠組みを提供している。「Cisco PX-GRIDというAPIを活用することで、対応を自動化し、防御に要する時間を短縮するといった取り組みを通じて、現在は十分ペイする状況になっている攻撃者のコストを高め、見合わないものにしていくことが大切だ」(同氏)。

 また、CiscoLive 2016のインフラネットワークの運用をつかさどるNOCでも、Cisco DNAの新製品群が活用された。40Gbpsクラスのバックボーンを用意し、640台ほどのスイッチで構成されたCiscoLiveのネットワークには、ピーク時には約1万5000台ものデバイスが無線LANで接続していたという。中には、もともとマルウェアに感染していたデバイスが持ち込まれたためか、不審な挙動も見られたそうだ。

 シスコのNOCチームではこれに対して一連のセキュリティ製品群を活用し、参加者とネットワークそのものの保護を図った他、クラウドやテンプレート機能を用いて設定・管理作業を簡素化し、さらにはSpark APIも利用することで障害対応の省力化を図ったという。

[高橋睦美,@IT]

最終更新:7月25日(月)7時10分

@IT

豊洲へなぜ市場移転 経緯と課題

築地から市場が移転される豊洲で、都が土壌汚染対策をしていなかったことが発覚。そもそもなぜ豊洲に移転するのか、経緯と課題を知る。