リソースホワイトペーパー

LTE ネットワークのセキュリティ確保 - 内容、理由、方法

導入

サービス プロバイダーは現在、ネットワーク トラフィックの増加、大規模なスケーリング要件、仮想化とオーケストレーションのニーズ、コスト管理、新しい収益源への拡大に対応するために、ネットワークを進化させ「将来に対応」させようとしており、多くの複雑な課題に直面しています。

同時に、通信事業者は、インターネット サービス プロバイダーが長年経験してきたものと似たセキュリティ インシデントや攻撃を経験しています。 ネットワークの輻輳、サービスの低下または完全な停止、ユーザー情報やシグナリングメッセージの漏洩は深刻な懸念事項です。 コア ネットワーク要素とサポート インフラストラクチャは、これまで以上に外部からの脅威にさらされやすくなっています。 高度な持続的脅威 (APT)、分散型サービス拒否 (DDoS) 攻撃、DNS レベルの攻撃は、ネットワークとサービスの可用性とパフォーマンスを脅かします。 したがって、高速モバイル ネットワークのセキュリティ、パフォーマンス、可用性を確保することは、ネットワークを所有および運用するサービス プロバイダーとその加入者の両方にとって極めて重要です。 さらに、ネットワーク自体だけでなく、それに接続されている消費者向けデバイスを保護することも重要になっています。

F5 のキャリアグレードのセキュリティ ソリューションは、LTE (Long Term Evolution) ネットワークとその加入者の両方を、現在直面している脅威から保護します。 これらのソリューションは、変化する環境においてサービス プロバイダーにセキュリティを提供し、ブランドの評判を守り、次世代の攻撃から保護し、新しい収益源への拡大を可能にします。

ネットワークの進化と進化する脅威の状況

従来、サービス プロバイダーのセキュリティは、ネットワーク インフラストラクチャの保護にほぼ重点を置いており、加入者のエンドポイント デバイスについてはほとんど考慮されていませんでした。 しかし、ネットワーク テクノロジーが進化し、3G、4G、5G などを通じてパフォーマンスが向上するにつれて、ネットワーク自体を保護するだけで十分であるという従来の運用観点は変化する必要があります。

サービス プロバイダーのアーキテクチャが動的、仮想化、オーケストレーションされたインフラストラクチャ モデルに進化するにつれ、固定ネットワーク インフラストラクチャと低パフォーマンスの加入者デバイス向けに設計された従来の運用モデルではもはや十分ではありません。 サービス プロバイダー ネットワーク、特に進化する LTE ネットワークは、仮想化、クラウド、ソフトウェア定義ネットワーク (SDN) 環境で信頼性の高い高性能なサービスを提供できるように、あらゆる場所でセキュリティを維持できるように設計する必要があります。 さらに、21 世紀にインフラストラクチャのセキュリティを実現するには、消費者向けデバイスが新たな非常に深刻なリスク要因となるため、サービス プロバイダーは消費者向けデバイスの保護に新たな重点を置く必要があります。

F5 は、専用のハードウェアと仮想サービスを通じてこれらの重要な課題に対するソリューションを提供し、ネットワークの成長と進化に合わせてオペレータが必要とするセキュリティ、パフォーマンス、可用性を実現します。

進化する加入者デバイスとその重要性

携帯電話デバイスは長年にわたって進化しており、今では通常のコンピュータと同じくらい強力で、どこにでも普及しています。 同時に、保存できるデータの量と種類が劇的に増加し、これらのデバイス自体が攻撃者にとって魅力的な標的となっています。 同様に、モバイル ネットワークが直面する脅威の状況は、以前の SMS ベースの攻撃から、デバイス、アプリケーション、ネットワークの各レベルでのリスクを含むように拡大しています。

インターネットを利用する成人の 3 分の 2 以上が、無料の安全でない公共 WiFi サービスを使用しているため、セキュリティ上の脅威は明らかです。 Verizon Business のディレクターである Bryan Sartin 氏は、「2 年後には、サーバーやアプリケーションから盗まれるデータよりも、モバイル デバイスから盗まれるデータが多くなるでしょう」と述べています。

悪意のある攻撃者のトラフィックに加えて考慮すべきもう 1 つのリスクは、チャット アプリケーションと、それがシグナリング システムや補助サポート システムに生成する負荷です。 メール、ニュース、ソーシャル メディアなどの一般的なアプリケーションに対する 1 回の接続要求で、30 以上の接続およびシグナリング イベントが発生することが多く、数百万の加入者デバイスがサービス プロバイダーのシグナリングおよびサポート インフラストラクチャに過負荷をかける可能性も非常に現実的な懸念事項です。 十分な容量とセキュリティを備えて設計および構築されていない場合、少数の悪意のある人物が通信事業者のシグナリングおよびサポート インフラストラクチャを妨害する可能性が高くなります。

消費者とそのデバイスを標的とする脅威の状況も進化し続けています。 ソーシャル エンジニアリング、マルウェア、DDoS 攻撃など、脅威ベクトルの多様化と高度化が進む中、現代の LTE ネットワーク オペレーターにとって、自らを守るために潜在的な攻撃からクライアントを保護することが重要になっています。

オペレーターにとってセキュリティがなぜそれほど重要なのか?

テクノロジーが進化し、ネットワークのコスト/パフォーマンス比が向上するにつれて、通信事業者は、純粋な接続性とレガシー サービスからの収益の予測される減少を補うよう努める必要があります。 ほとんどの通信事業者はネットワーク インフラストラクチャのコスト削減を目指していますが、これだけでは収益性の高い成長は保証されないため、通信事業者は追加のサービス収益源を模索しています。

ネットワーク セキュリティは、良好な顧客体験と収益性の高い成長を実現するために不可欠です。
図1: ネットワーク セキュリティは、良好な顧客体験と収益性の高い成長を実現するために不可欠です。

ネットワーク自体を保護することで、オペレータはネットワークが加入者に提供するエクスペリエンス品質 (QoE) を向上させ、ネットワークがサポートする既存サービスと新規サービスの両方を保護できます。 これにより、通信事業者は加入者の解約やユーザーあたりの平均収益 (ARPU) の低下から保護されます。 したがって、ネットワークのセキュリティを強化することで、事業者は全体的な収益を増やし、総所有コスト (TCO) を削減することができます。

LTE ネットワークはどのようなリスクに直面していますか?

モバイル オペレータは、多数の脅威ベクトルが関係しているため、固有のリスクに直面しています。脅威はデバイス、ネットワーク、およびアプリケーション レイヤーに存在し、ネットワークと加入者の両方を攻撃から保護するには、それぞれを考慮し、セキュリティを確保する必要があります。

モバイル ネットワークは、複数の場所のさまざまなソースから攻撃を受ける可能性があります。
図2: モバイル ネットワークは、複数の場所のさまざまなソースから攻撃を受ける可能性があります。

デバイス レベルの攻撃は、加入者のデバイスに感染したマルウェアやボットによって引き起こされる可能性があり、偽のトラフィックや攻撃トラフィックを生成したり、ネットワークにシグナリング ストームを発生させたり、デバイスのバッテリーを消耗させたりする可能性があります。 ネットワーク自体は、無線アクセス ネットワーク (RAN) およびコア ネットワーク リソースの枯渇、利用規約 (T&C) 違反、DNS、課金、シグナリング インフラストラクチャへの攻撃の影響を受ける可能性があります。 さらに、アプリケーション層を標的とした攻撃には、サーバー側のマルウェア、アプリケーションレベル (プロトコル固有) の DDoS 攻撃、またはレイヤー 7、Web アプリケーション レベルの脅威が含まれる場合があります。

事業者は、安定した安全なネットワーク運用を確保し、インフラストラクチャを保護し、顧客を保護して満足させるために、これらすべてのリスク要因を考慮する必要があります。 具体的には、オペレーターは、モバイル ネットワークの各側面を保護するために、複数のドメインに制御とセキュリティ ポリシーを導入する必要があります。

LTE ネットワークには複数の攻撃対象領域が存在します。
図3: LTE ネットワークには複数の攻撃対象領域が存在します。

ネットワークを完全に保護するには、真のマルチレイヤー、マルチドメイン セキュリティ ポリシーが必要です。 モバイル デバイス、無線インターフェイス、アクセス ネットワーク、コア ネットワーク、さらにアプリケーション、運用サポート システム (OSS)、ビジネス サポート システム (BSS) のセキュリティをすべて保護する必要があります。 これらすべてのレイヤーが安全になるまで、オペレーターは複数の進化する脅威ベクトルによる攻撃のリスクに直面します。

攻撃シナリオと関連する影響

LTE ネットワークとその加入者に危害を与える可能性のある攻撃は数多く存在し、それらすべてから保護するために総合的なセキュリティ アーキテクチャを設計し、実装することが重要です。 DDoS 攻撃などのさまざまな攻撃タイプの多くは、被害が広範囲に及び、すぐに明らかになりますが、いくつかの攻撃タイプは局所的なサービス低下を引き起こすだけなので、トラブルシューティングがはるかに困難です。

後者のタイプの攻撃の例としては、局所的な停止につながる RAN 接続枯渇や、デバイスの返却につながる可能性がある消費者向けデバイスのバッテリー消耗問題などがあります。 同様に、課金インフラストラクチャへの攻撃は顧客の不満やサービスコールを引き起こします。

あらゆる種類の攻撃は、成功した場合、顧客満足度を低下させ、オペレーターのコストを増加させるため、リスクを理解し、エンドツーエンドの軽減戦略を策定することが重要です。

シナリオ 1: インターネット側からの攻撃

オペレータが上流のインターネット接続からの受信セキュリティに十分な注意を払わない場合、攻撃者はネットワーク加入者に対してフラッディング攻撃や DoS/DDoS 攻撃を仕掛ける可能性があります。 下の図は、モバイル加入者が上流から攻撃されるような攻撃シナリオを示しています。

デバイスはモバイル ネットワークのインターネット側から攻撃される可能性があります。
図4: デバイスはモバイル ネットワークのインターネット側から攻撃される可能性があります。

このような攻撃による潜在的な被害としては、次のようなものが考えられます。

  • モバイルデバイスのバッテリーの消耗。
  • データ量の使用量とそれに伴う請求に関する苦情。
  • RAN 接続が枯渇しました。
シナリオ 2: モバイル側からの攻撃

攻撃者は、単一のオペレータのネットワークのモバイル側から他のモバイル デバイス ユーザーを標的にする可能性もあります。 このシナリオでは、1 人以上のモバイル攻撃者が、オペレータのアクセスおよびコア ネットワーク インフラストラクチャ全体にわたって、DoS、フラッディング、または DDoS 攻撃でネットワーク加入者を標的にする可能性があります。

デバイスは、ネットワークのモバイル側から攻撃される可能性もあります。
図5: デバイスは、ネットワークのモバイル側から攻撃される可能性もあります。

インターネット側の攻撃と同様に、この攻撃も次のような複数の問題を引き起こす可能性があります。

  • モバイルデバイスのバッテリーの消耗。
  • データ使用量が多すぎると、請求に関する苦情が発生します。
  • RAN 接続が枯渇しました。
シナリオ 3: モバイル側からの DNS/シグナリング攻撃

モバイル側からの攻撃は、デバイスを標的とするのではなく、DNS や課金・請求システムなど、通信事業者のシグナリング インフラストラクチャを標的とする可能性があります。

強力な DNS 攻撃やシグナリング攻撃は、モバイル デバイスから発生する可能性があります。
図6: 強力な DNS 攻撃やシグナリング攻撃は、モバイル デバイスから発生する可能性があります。

この種の攻撃のリスクには次のようなものがあります。

  1. エアタイム/RAN リソースの枯渇。
  2. 加入者のデータ量使用量と請求に関する苦情。
  3. DNS インフラストラクチャの過負荷と崩壊。
  4. 加入者データ レコード エラー。

ご覧のとおり、LTE ネットワーク オペレーターが直面するすべての潜在的なセキュリティ リスクを理解して対処するのは、実に複雑な作業です。 幸いなことに、F5 はこれらのリスクを軽減するためのカスタマイズされたキャリアグレードのソリューションを提供できます。

F5 で LTE ネットワークをあらゆる場所で保護

世界最大手の通信サービス プロバイダーは、ネットワークのセキュリティ保護と簡素化、サービス品質の向上、収益性の向上を実現するために F5 を信頼しています。 現在、F5 は、セキュリティを含む複数のサービスを統合プラットフォームで提供するキャリアグレードのソリューションの幅広いポートフォリオにより、サービス プロバイダーがデータ爆発を管理し、IPv6 にシームレスに移行できるよう支援できる独自の立場にあります。 F5 プラットフォームにより、サービス プロバイダーは市場投入までの時間を短縮し、資本コストと運用コストを削減し、サービス配信のパフォーマンスとセキュリティを向上させ、ネットワーク サービスを収益化できるようになります。

F5 のサービス プロバイダー ソリューション セットは、セキュリティ、ネットワーク機能仮想化 (NFV)、データ トラフィック管理、Diameter および DNS シグナリングのソリューションで構成されています。 すべての F5 ソリューションは、専用の高性能物理ハードウェア プラットフォーム、またはさまざまな仮想プラットフォームやクラウド プラットフォームで利用できます。 さらに、これらのソリューションの管理とオーケストレーションは、F5® BIG-IQ® 管理プラットフォームと各製品の API を介して利用できます。

ネットワークが成長し、大規模に拡張され続けるにつれて、ネットワーク上で実行されるトラフィックの特性も進化し、TCP 接続の数が増加し、より短く頻繁な接続が主流になります。 アプリケーション トラフィックのこの進化の意味は、サービス プロバイダー ネットワークでは非常に高い TCP 接続スケーリングをサポートするインフラストラクチャ ソリューションが必要になることです。 従来のセキュリティ ソリューションは拡張できず、最新の高性能ネットワークやアプリケーションに必要なパフォーマンスを提供できません。そのため、今日の環境でセキュリティ、パフォーマンス、信頼性を実現するには不十分です。

オーバーザトップ (OTT) またはホールセール ネットワーク サービスを作成するために使用される仮想またはオーバーレイ ネットワークと仮想化ネットワーク サービスも、スケーラビリティ要件が増加し、厳しいレイテンシ要件を持つ新しいサービスとアプリケーションがこれらのネットワーク上で実行されるため、別のレベルの複雑さを生み出します。

こうした変革により、大規模なスケールと高いパフォーマンスを実現できるセキュリティおよびトラフィック管理ソリューションが重要な要件となっています。 これら両方を実現する F5 ソリューションは、これらの新しいサービスおよび運用環境に最適です。

LTE セキュリティのための F5 ソリューション

F5 のキャリアグレードのサービス プロバイダー ソリューションにより、通信事業者は LTE インフラストラクチャ、加入者デバイス、OSS アプリケーションを潜在的な攻撃者から保護できます。 具体的には、キャリア データ センター内に F5 BIG-IP® Local Traffic Manager™ (LTM) や BIG-IP® DNS などのローカルおよびグローバル トラフィック管理ソリューションを、BIG-IP®Advanced Firewall Manager™ (AFM) や BIG-IP® Application Security Manager™ (ASM) などのレイヤー 4 およびレイヤー 7 用の F5 ファイアウォール ソリューションとともに導入することで、モバイル カスタマーをインターネットからの攻撃から保護するとともに、モバイル側からの攻撃からデータ センターを保護することができます。

データセンター自体では、F5 のレイヤー 4 ファイアウォールにより、オペレータのコア インフラストラクチャからセキュリティ機能がオフロードされ、セキュリティが強化され、コストが削減されます。 さらに、BIG-IP® Carrier-Grad NAT (CGNAT) は、数百万のユーザーをサポートするために必要なキャリアグレードの NAT スケーラビリティとパフォーマンスを提供します。 BIG-IP® Policy Enforcement Manager™ (PEM) によってユーザー トラフィック ペイロードの可視性と適用が提供され、サービス トラフィックのセキュリティ保護と収益化が可能になります。

BIG-IP の物理および仮想プラットフォームは、高性能で拡張性に優れた SSL 暗号化および復号化エンドポイントも提供し、オペレータ コアとの間の安全な接続を実現および実施して、アクセス ネットワーク インフラストラクチャを保護します。 ピアリング接続点で BIG-IP AFM と BIG-IP ASM のセキュリティ プラットフォームを使用すると、ネットワーク インフラストラクチャとモバイル カスタマーの両方がローミング ネットワーク パートナーからの攻撃から保護されます。

最後に、加入者データベース、DNS、オペレータのネットワーク内のその他のシグナリングおよび課金システムを含む OSS および BSS システムは、BIG-IP AFM、BIG-IP DNS、および F5 Traffix® Signaling Delivery Controller™ (SDC) によって、不正な従業員による攻撃やインターネットおよびモバイルの脅威から保護できます。 F5 は、ノースバウンド API や BIG-IQ 管理プラットフォームなど、SDN や NFV などの次世代アーキテクチャ向けの包括的な管理およびオーケストレーション オプションも提供しています。

F5 のキャリアグレード ソリューション スイートは、コア ネットワークからユーザー デバイスまで包括的なセキュリティを確保します。
図7: F5 のキャリアグレード ソリューション スイートは、コア ネットワークからユーザー デバイスまで包括的なセキュリティを確保します。

つまり、F5 は、次のものを保護できる包括的なサービス プロバイダ セキュリティ ソリューションを提供します。

  1. 加入者のモバイルデバイス。
  2. S/Gi ネットワーク自体のデータ層、およびデータ センターとピアリング接続。
  3. 無線接続と有線接続の両方のアクセス ネットワーク。
  4. Traffix SDC と BIG-IP DNS サービスを使用したシグナリング レイヤー。
  5. データセンター内の仮想ネットワーク機能 (VNF) 用のアプリケーション。

上記のすべてのサービスは、ネットワーク全体でエンドツーエンドで一致し、一貫したポリシー セットで適用できます。 最後に、DDoS 保護は、すべての BIG-IP ハードウェアまたは仮想エディション プラットフォーム上のネットワークのすべてのレイヤーにわたって提供できます。

F5 のセキュリティ ソリューションの利点

F5 のサービス プロバイダ セキュリティおよびトラフィック管理ソリューションにより、ネットワーク オペレータは次のことが可能になります。

  • 変化する環境においてサービス プロバイダーのセキュリティを維持します。 F5 は、優れたスケーラビリティ、プログラミング性、拡張性を備えた包括的なセキュリティ ソリューションをサービス プロバイダーに提供します。
  • シンプルにする。 上記のすべての機能 (Traffix SDC を除く) は単一の BIG-IP プラットフォームで利用できるため、オペレーターはデータセンター インフラストラクチャとネットワーク運用を集約して簡素化し、CapEx、OpEx、TCO を削減できます。
  • サービスプロバイダーのブランドを保護します。 F5 セキュリティ ソリューションは、プロアクティブなセキュリティ体制と加入者に最適なエクスペリエンスを提供する単一のサービス配信アーキテクチャに適合します。
  • 次世代の攻撃から保護します。 F5 セキュリティ ソリューションは、次世代の攻撃から保護しながら、優れたスループット、接続速度、同時セッションを可能にする、拡張性に優れたプラットフォームをサービス プロバイダーに提供します。
  • 新たな収益源への拡大を確保します。 F5 は、最も要求の厳しい条件下でもサービス プロバイダ ネットワークとアプリケーション インフラストラクチャの可用性を保護し、確保し、収益の増加を促進する新しいネットワーク アプリケーションとサービスの安全な配信を実現します。
結論

サービス プロバイダーの主な懸念は、引き続きすべての重要なネットワーク インフラストラクチャを攻撃から保護することですが、ユーザー機器への攻撃も今や懸念の範囲内となっています。 過去には、一部のサービスプロバイダーがモバイルデバイスへの攻撃を自社の責任範囲外と分類していたかもしれませんが、現在ではほとんどのサービスプロバイダーが、こうした攻撃の潜在的な危害を十分に理解しており、こうしたインシデントの発生を防ぐツールが必要であることを認識しています。 

すべてのサービス配信においてエンドツーエンドのセキュリティを確保するというサービス プロバイダーの課題をさらに複雑にしているのは、ユーザー機器への攻撃とネットワーク要素への攻撃の境界があいまいになり続けていることです。 このため、サービス プロバイダーは、ネットワークと顧客を保護すると同時に、新たな高度な脅威が発生したときに対処するためのツールと機能を提供する、スケーラブルで高度かつ包括的なセキュリティ フレームワークを実装する必要性が高まっています。 強力なセキュリティ体制の実装はこれまで以上に重要になっており、モバイル サービス プロバイダーは、F5 だけが提供できる広範なサービス プロバイダー セキュリティ機能を使用して、進化する LTE ネットワークを最適に保護できます。

F5 サービス プロバイダー ソリューション セットの詳細については、 f5.com/solutions/service-provider を参照してください。

2016 年 1 月 28 日公開
  • Facebookでシェア
  • Xに共有
  • LinkedInにシェア
  • メールで共有
  • AddThisで共有

F5とつながる

F5 Labs

最新のアプリケーション脅威インテリジェンス。

F5 Labs へ移動

DevCentral

ディスカッション フォーラムと専門家による記事のための F5 コミュニティ。

DevCentral へ移動

F5 ニュースルーム

ニュース、F5 ブログなど。

ニュースルームへ移動