A10、SAP共同プロジェクト

Thunder ADCとSAP HANAによるネットワーク監視ソリューションを検証アプリケーションサーバーへの攻撃に対するADCの有用性を証明

概要

　いまやインターネット経由で社外からビジネスアプリケーション

にアクセスできる環境は、企業にとって必須の環境です。それだけ

にネットワークの脅威にさらされるリスクが伴います。そのような中

で、企業や組織のネットワークに流れ込んでくるパケットの細部ま

で知ることは必ずしもできていませんでした。

　そこで、A10ネットワークスとSAPジャパンは、SAP Co-Innovation

Lab Tokyo（以下、COIL Tokyo）において、次世代アプリケーションデ

リバリーコントローラー（ADC）のThunder™ 3030S ADC、インメモ

リープラットフォームのSAP HANA等を用いて、インターネット経由

でアプリケーションサーバーにアクセスする通信をリアルタイムに

捕捉し、無効なアクセスを可視化・ビジュアル化するネットワーク監

視ソリューション「Attack Finder」の検証プロジェクトを実施。その

有効性を明らかにしました。

背景

　スマートデバイスの進化がワークスタイルを変革することが認識

されるようになり、ビジネスアプリケーションへのアクセス環境は大

きく変化してきました。基幹業務システムも社外からインターネット

を通じて利用することが必然になりつつあります。一方、ネットワー

クの脅威は複雑かつ高度に進化し、ビジネスアプリケーションが脅

威にさらされるリスクも高まっています。

　こうしたネットワーク環境の変化や脅威の進化に対して企業や

組織のセキュリティ対策は、多層防御で対処することが指向されて

います。とはいえ、様々なレイヤーにセキュリティ専用装置を導入す

ることにより、ネットワーク環境が複雑化する場合もあります。ADC

であるThunder ADCとSAP HANA、SAP Lumiraによるネットワーク

監視ソリューションは、既存のセキュリティ専用装置を補完し、アプ

リケーションサーバーへのアクセスを監視することによって、多層

防御の一端を担うことをねらったものです。

検証プロジェクトで使用したThunder 3030S ADC

Internet

COIL TokyoにおけるAttack Finderの検証環境

ルーター

Thunder3030S ADC

Syslogサーバー

SAPアプリケーションサーバー

SAP HANASAP Lumira

SAP Infinitelnsight

図1

本プロジェクトの検証環境

　検証にはCOIL Tokyoで稼動しているシステムにThunder 3030S

ADCを導入して実施しました（図1）。

　SAPのアプリケーションサーバー群の前段にThunder 3030S

ADCを設置。そして同装置のログを蓄積するサーバーから情報を

SAP HANAのインメモリーデータベースに取得。その結果をビジュ

アルに視覚化するSAP Lumira、さらにデータマイニングソフトウェ

アのSAP InfiniteInsight を利用しました。

　本検証プロジェクトでキーとなるコンポーネントは、Thunder

3030S ADCとSAP HANA、SAP Lumira。前者はA10の独自OSである

ACOS（Advanced Core Operating System）のaFleX機能により、パ

ケットに含まれる情報を分析して、あらかじめ設定されたポリシー

（フィルタリング、ドロップ、リダイレクト）を適用できることを利用し

ています。また、SAP HANAの大量データをサーバーのメインメモ

リーでリアルタイムに処理するインメモリー・コンピューティング技

術により、Thunder 3030S ADCが出力するログをリアルタイムに思

考スピードで分析。SAP Lumiraにより簡単な操作でデータをビジュ

アル化します。

　本ソリューションは、企業や組織のネットワークにおいて多層防

御の1セグメントとしてアプリケーションサーバーへの攻撃を監視す

ることを目的としているため、セキュリティ専用装置（ファイアウォー

ルやDDoS対策ツール）が導入されている環境であることを前提と

し、かつそれらと競合しない環境を想定しています。

　また、検証プロジェクトにおいて構築・実現する内容は、前述のよ

うな実環境の中でソリューションの優位性を訴求するため、ファイ

検証プロジェクトの前提条件

●導入済みのネットワークセキュリティ機器との競合を発生させないものとする本構成をはじめとしてSAP社製品（SAP HANA等)が実装される環境は、データセンター機能として別途ネットワークセキュ

リティ機器（ファイアウォール、DDoS対策など）が存在していると想定。

●プロジェクトにおいて構築・実現する内容は、上記前提を考慮し以下とするファイアウォールが実装されている環境においても、TCP/UDP上の一部プロトコル（DNS/NTP等）のようにセキュリティ要

件が緩やかになりうる通信を悪用した攻撃試行の情報を収集し、その傾向を解析する。

リアルタイムのパケット検知が被害を未然に防ぐ

「A10ネットワークスとの共同検証によって、Thunder ADCとSAP HANAおよびSAP

Lumiraの組み合わせで、ファイアウォールでフィルタリングした環境においても許可して

いないポートへのアクセスや不明なIPアドレスからのアクセスをリアルタイムに検出し、可

視化することができました。このAttack Finderによって、ネットワーク攻撃による被害が顕

著になる前に未然に防ぐことも可能になるでしょう」

■SAPジャパン株式会社　 Co-Innovation Lab Tokyo　ディレクター 渡邊 周二 氏

Attack Finderの動作フロー

SAPアプリケーションサーバー

Thunder 3030S ADC

ハブ（L2スイッチ）

Syslogサーバー

SAP HANASAP BO

SAP Infinitelnsight

2 3

41Internet

ルーターVPN Endpoint

A10、SAP共同プロジェクト

図2

アウォールが実装されている環境においても、TCP/UDP上の一部

プロトコル（DNS/NTP等）のように、セキュリティ要件が緩やかにな

りうる通信を悪用した攻撃を試行し、情報の収集とその傾向を解析

するものとしました。

ネットワーク監視のダイアグラムとプロセス

　実際のトラフィックを監視し、パケットの検知・分析・視覚化するプ

ロセスを以下に説明します（図2）。

　（1）グローバルIPにクライアントがアクセスすると、（2）上位ルー

ターがグローバルIPからプライベートIPに変換（CC-VIP）し、（3）

Thunder 3030S ADCのVIPがトラフィックを受け付け、実サーバー（ア

プリケーションサーバー）へ転送する際にSource NATを行います。

　（4）VIPで不正なアクセス（グローバルIPの定義されていない

TCP/UDPポートへのアクセス）を検知した際は、ログをsyslogサー

バーへ送信します（ログ処理はaFleX機能を使用）。

　syslogサーバーへ送信されたパケット情報は、インメモリーデー

タベースのSAP HANAに取り込まれ、SAP Lumiraによってビジュア

ル化したレポートを提示します。

検証結果とソリューションとしての展望

　本検証プロジェクトでは、ある期間において最もパケットの多い

ものがグラフ化され表示。それぞれをポイントアウトするとIPアドレ

スが表示されるようにしました。また、そのIPアドレスから所在地を

検索し、地図上にマッピングしています（図3）。

　検知したIPアドレスおよびアクセス数を見ると、COIL Tokyoはラ

ボ環境であり、プロジェクトに関係するところからのアクセスである

はずが、世界各地からの非常に多くのIPアドレスが検知されました。

その結果、Attack Finderがアプリケーションサーバーのネットワー

ク監視ソリューションとして機能することを明らかにできました。

　今回の検証プロジェクトでは、IPアドレスやアクセスしたポート番

号を検知するよう設定しましたが、aFlexスクリプティング機能によ

り様々な情報の検知・グラフ化が可能になります。

　また、同一のパケットがある一定量を超えて送信されてきたと

きに、管理者にアラート通知する機能などを実装することにより、

パケットのリアルタイム検知・分析性能を活かし、アプリケーション

サーバーへの攻撃の兆候があった段階で迅速な対応が可能になり

ます。

ネットワークセンサーとしての価値を示したThunder ADC

今回のプロジェクトによって、アプリケーションデリバリーコントローラーとして認知さ

れているThunder ADCが、ネットワークにおけるセンサーとしての価値を持つことが

実証できました。しかもビジネスアプリケーションへの脅威を視覚化できるという視点

に立てば、Attack Finderが明らかにする事象をビジネスオブジェクトとして判断でき

る可能性を示したと考えています。

■A10ネットワークス株式会社　 ビジネス開発本部ビジネス開発部　シニアソリューションアーキテクト 熊村 剛規 氏

Attack Finderによる通信の視覚化

図3

SAP AWARD OF EXCELLENCE 2015COILプロジェクト・アワードを受賞！

　SAP社のビジネスへの貢献度ならびに顧客満足度などで、極

めて高く評価されたパートナー企業を表彰する「SAP AWARD OF

EXCELLENCE」。

　2015年3月、A10ネットワークスは、SAP InfiniteInsightなどの最

新製品を活用し、グローバル・ネットワーク上のパケット通信に関す

る分析、予測システムをCOILプロジェクトとして推進されたことが

評価され、SAP戦略ソリューション部門の「COILプロジェクト・アワー

ド」を受賞しました。

A10、SAP共同プロジェクト

次世代アプリケーション配信コントローラー　Thunder ADC

　Thunderシリーズは、最大155Gbpsの高いパフォーマンスを

実現するアプリケーションサービスゲートウェイです。Thunderシ

リーズには、ハードウェアのパフォーマンスを最大限引き出す独自

OSのACOSが搭載され、コンパクトで低消費電力な筐体でありな

がら高いパフォーマンスを実現します。物理アプライアンス、仮想ア

プライアンス、ハイブリッド仮想アプライアンスといった豊富なライ

ンナップが用意されており、環境や用途、ビジネス規模に合わせて

最適なモデルをお選びいただけます。また、高い拡張性により将

来の規模拡張にも柔軟に対応します。

A10 Networks /A10ネットワークス株式会社について

　A10 Networks（NYSE: ATEN）はアプリケーションネットワーキン

グ分野におけるリーダーとして、高性能なアプリケーションネット

ワーキングソリューション群を提供しています。世界中で数千社に

のぼる大企業やサービスプロバイダー、大規模Webプロバイダー

といったお客様のデータセンターに導入され、アプリケーションと

ネットワークを高速化し安全性を確保しています。A10 Networksは

2004年に設立されました。米国カリフォルニア州サンノゼに本拠地

を置き、世界各国の拠点からお客様をサポートしています。

　A10ネットワークス株式会社はA10 Networksの日本子会社であ

り、お客様の意見や要望を積極的に取り入れ、革新的なアプリケー

ションネットワーキングソリューションをご提供することを使命とし

ています。

詳しくはホームページをご覧ください。

www.a10networks.co.jp

Facebook : http://www.facebook.com/A10networksjapan

〒105-0001 東京都港区虎ノ門 4-3-20 神谷町MTビル 16階 TEL : 03-5777-1995 FAX: 03-5777-1997 jinfo@a10networks.comwww.a10networks.co.jp　

Part Number: A10-SB-90005-JA-01Apr 2015

A10ネットワークス株式会社 お客様のビジネスを強化するA10のアプリケーションサービスゲートウェイ、Thunderの詳細は、A10ネットワークスのWebサイトwww.a10networks.co.jpをご覧になるか、A10の営業担当者にご連絡ください。

北米（A10 Networks本社）sales@a10networks.comヨーロッパemea_sales@a10networks.com南米latam_sales@a10networks.com中国china_sales@a10networks.com

海外拠点香港HongKong@a10networks.com台湾taiwan@a10networks.com韓国korea@a10networks.com南アジアSouthAsia@a10networks.comオーストラリア/ニュージーランドanz_sales@a10networks.com

©2015 A10 Networks, Inc. All rights reserved. A10 Networks、A10ロゴ、A10 Lightning、A10 Thunder、aCloud、ACOS、ACOS Policy Engine、ACOS Synergy、Affinity、aFleX、aFlow、aGalaxy、aVCS、AX、aXAPI、IDaccess、IDsentrie、IP-to-ID、SoftAX、SSL Insight、Thunder、Thunder TPS、UASG、VirtualN、Virtual Chassisおよび vThunderは米国およびその他各国におけるA10 Networks, Inc. の商標または登録商標です。その他上記の全ての商品およびサービスの名称はそれら各社の商標です。その他の商標はそれぞれの所有者の資産です。 A10 Networksは本書の誤りに関して責任を負いません。 A10 Networksは、予告なく本書を変更、修正、譲渡、および改訂する権利を留保します。 製品の仕様や機能は、変更する場合がございますので、ご注意ください。