|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
|
|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
2. 通信・無線・放送
40万行超のACLによるAllowlistの運用
Tips of Allowlist Based Firewall Operation for the Tokyo 2020 Games
東京2020オリンピック・パラリンピック競技大会のデータネットワークでは,ネットワークレベルのセキュリティ対策としてファイヤウォールでAllowlist方式を採用した.準備期間も含め約2年半にわたり,大会用データネットワークに設置したファイヤウォールのアクセス制御リスト(ACL)を運用した結果,大会開催時のACLは,全体で40万行超(機器単体では最大26万行超)となった.この膨大なACLを誤設定なく,また,ネットワークのポリシーに対して矛盾なく一貫性を保つために行った運用について紹介する.
キーワード:東京2020大会,Allowlist,ファイヤウォール,ACL,セキュリティポリシー
Allowlist方式は,必要な通信情報(IPアドレス,ポート番号)を事前に通信要件として明確化し,通信要件に合致しない通信は全て遮断するという方式である.この方式は,強固なセキュリティを実現できる一方で,ファイヤウォール(FW: Firewall)に設定するアクセス制御リスト(ACL)の数が膨大になる上,サーバの設置,Venueの構築などの環境の変化によって通信要件が変更となった場合,その都度FWの設定の追加や削除を行わなければならず運用が煩雑になるため誤設定が混入しやすいという欠点がある.また,ネットワークの柔軟な構成変更が困難になるため,通常のエンタープライズでは採用されることは極めてまれである.しかし,東京2020オリンピック・パラリンピック競技大会(以下,東京2020大会)のデータネットワークにおいては,ミッションクリティカルな国際的なイベントを支えるネットワークインフラとして,この難題にあえて挑戦し,緻密な業務設計と運用及び徹底的な監査によって数々の課題を克服し大会の成功に貢献した.
本稿では,本特集2-2「大会用データネットワークのアーキテクチャ」で触れられた東京2020大会のデータネットワークにおけるAllowlist方式によるFWの運用管理に関する取組みについて述べる.
FWはネットワークレベルの接続性を制御することでセキュリティを高める装置で,その制御のための設定情報をACLという.
東京2020大会のデータネットワークにおいてFWは,大会運営に関係するサーバ群が配備されたデータセンタ,及びデータネットワークを利用可能な全てのVenue(57拠点)に配置された.
続きを読みたい方は、以下のリンクより電子情報通信学会の学会誌の購読もしくは学会に入会登録することで読めるようになります。 また、会員になると豊富な豪華特典が付いてきます。
電子情報通信学会 - IEICE会誌はモバイルでお読みいただけます。
電子情報通信学会 - IEICE会誌アプリをダウンロード
