ネットワーク自動化ソリューションを提供する米Backboxによると、大企業ではネットワーク運用・セキュリティの仕事が担当者の手だけでは捌ききれなくなっているという。ネットワークのアップデートや技術スタックのスプロール化のペースが速くなっていること、経営陣からのサポート不足、ネットワーク問題の解決手段を即座に決めかねることなどが原因だ。

Backboxが米Wakefield Researchと共同で実施した調査によると、従業員500人以上の企業に勤務する運用・セキュリティ担当者の92%がネットワークのアップデートはもっと必要なのだが追い付いていないと回答している。

「いろいろな企業のネットワークチームの方から、年間を通じていつもアップグレードに対応しているというお話を伺っています。現在ではファイアウォールの数は何百もあり、全て最新バージョンにアップグレードしているということです」。製品管理ディレクターのChanoch Marmorstein（チャノック・マーモスティン）氏が米SDxCentralの取材で語った。

タスクのスケジュール設定やダウンタイム、ヒューマンエラーを考えると、多くのネットワークチームではアップグレードにかなりの時間をかけていることになる。完了したと思ったら新たな脆弱性が発見され、また次のアップグレードが必要になるという具合だ。「絶えず発生するこうしたアップデート作業がチームの業務時間の大半を占めているのです」

調査では、技術スタックが大きいほどネットワークを最新に保つのは難しく、大企業は中小企業に比べてアップデートを最新に保てない傾向にあることが分かった。自社のネットワークやセキュリティ機器のアップデート頻度について、四半期ごとかそれ以下であると回答した企業の割合は従業員数1,000人以上の企業では68%だったのに対し、従業員数500人～999人の企業では53%にとどまっている。

また、回答を寄せた担当者の大多数（93%）がネットワーク自動化を信用してよいか分からないとした一方、ほぼ全員（98％）がネットワーク運用を自動化できればもっと効果的な仕事に集中することができると答えた。

BackBoxのライブラリ＝2,000以上の自動化機能

BackBoxのCTO、Josh Stephens（ジョッシュ・スティーブンズ）氏によると、「つまらない部分、チームとしては時間をかけたくないけれど会社全体にとっては非常に重要な仕事」というタスクはあるが、その多くはオフロードすることが可能だという。

BackBoxは2,000以上の自動化機能を備えたライブラリを提供しており、ユーザー企業のユースケースはいくつかあるという。1つ目はファイアウォール等のネットワーク機器設定のバックアップ＆リカバリだ。

「想像よりもずっと骨の折れる作業です。ファイアウォールのバックアップや復元には、複数のファイルを特定の順序で読み込むとか、OSの設定が必要になることがよくあります。こうした作業を自動化したいというのは、お客様が望まれているものの中でも大きな部分を占めています」。Stephens氏は言う。

他にはファイアウォールを含むネットワーク機器のアップグレード自動化も求められている。こうした機器についてはCVE（一般公開される脆弱性）の発見がますます増えており、今日のサイバー脅威に関する状況を踏まえると、絶えずアップデートが必要だ。

「機器の評価、機器のリスクレベル評価、使用OS、既知のCVE、変更ウィンドウに何を表示するか……こうしたことを評価する必要があります。実に複雑な作業です。そのため、アップグレードを自分のタスクから外して自動化システムに任せたいと皆考えているのです」

CISコンプライアンス機能の要望

大企業では機器設定の見直し自動化も検討しているという。ネットワークチームやセキュリティチームでは、ルーター等のネットワークインフラ機器の設定変更を「運用に通常伴うタスク」として行っている。

長い期間が経った後に変更が行われたことで、コンプライアンスから外れた設定になってしまうというのはよくある問題だ。「そのため、本製品では各設定のコンプライアンスを自動でチェックできるようにしています。設定を修復してコンプライアンスの観点から本来あるべき状態に戻すことも可能です」。Stephens氏は言う。

BackBoxは最近、CISベンチマークに沿ったコンプライアンス自動化テンプレートのシリーズ第1弾をリリースしている。テンプレートは初めフォーティネットとチェックポイントの機器で利用可能となっており、次はシスコ、その後F5、パロアルトネットワークス、ジュニパーネットワークスといったベンダーの機器で利用可能にする計画だという。

Marmorstein氏によると、自動化テンプレートではCISコンプライアンスをチェックし、問題を修復するテストを走らせることも可能だという。「ボタンをクリックすれば自動化機能を実行、　『コンプライアンス状況をテスト確認してほしい』と伝えることができます。『もし準拠していなかったら、問題を修正して準拠させてほしい』ということも可能です」

自動化に対する経営陣の信用は低い

自動化システムの信用はまだ低い。調査対象となった担当者の3分の1は自社の経営陣が「自動化に懐疑的」だと回答している。

「どの程度の自動化を望まれているかはお客様によって異なります」とStephens氏は言う。

テストだけを自動化する企業もあれば、チェックと修復を自動化する企業もある。ユーザー企業の中には自動化に対して疑念を持っており、「視覚的な合図を出して、処理の合間にOKボタンをクリックできるようにしてほしい」と望む企業もある。

Stephens氏によると、BackBoxは世界中に600社の顧客を抱えており、製品は約10万個のネットワークで管理に使用されているという。また、こうしたネットワークには毎週新しい機器が追加されており、経営陣としては自動化を進める以外の選択肢はないだろう、というのが氏の見解だ。

氏の予測では、現在はまだ一般的ではないものの、近い将来は企業が情報漏えい保険へ加入する際にサイバー保険会社がCISコンプライアンスへの準拠を求めるようになるという。

「世の中でも企業でも、当たり前のことになりつつあります」と氏。「エンドツーエンドの自動化サイクルを回すことは非常に重要です。ネットワークに新しい機器が追加されていき、完ぺきだったセキュリティ衛生が損なわれかねない状況ではなおさらです」と語った。

Network Automation Is the Key to Managing Endless Upgrades