ファイアウォール運用負荷を軽減--ソフトバンク、社内LANのアクセス制御に新発想 - ZDNet Japan
TOSフィールドを使ったクライアントアクセスレベル設定とその制御らしい。
ソフトバンクは2015年7月、アクセス制御をシンプル化する新たなアイデアを採用した。「新しい拠点ができても、あまり作業が要らない」(システム基盤本部でネットワークの構築・運用に携わる長谷川寛氏)のがメリットだ。アクセス制御ルールをネットワークに反映する際の運用にかかる負荷は77%減った。金額にして年間5000万円から6000万円を削減した。
図1:クライアント端末側のセキュリティレベルをIPパケットに埋め込むことでデータセンター側でフィルタリングできるようにした(ソフトバンク提供)
ファイアウォール運用負荷を軽減--ソフトバンク、社内LANのアクセス制御に新発想 - ZDNet Japan
新しいやり方では、IPパケットのサービスタイプ領域(Type of Service=ToSと呼ぶ8ビットの領域)に、クライアント端末のアクセスレベルを記述。この値をもとに、データセンター側でフィルタリングする(図1)。アクセスレベルを付与するという“色付け”(カラーリング)で制御する仕組みだ。「これまでのような、IPアドレスをもとに制御するやり方から逃れたかった」(長谷川氏)
新方式の効果として、運用負荷が減っただけでなく、セキュリティも向上した。セキュリティの考え方がシンプルになったので、エンドユーザのセキュリティへの認知度が高まった。今後の展開としては、運用の自動化を図っていきたいという。「新たにセグメントが作られた際に、その次の日からサーバにアクセスできるようにしたい」(前田氏)