ネットワークセグメントについて

北京オリンピック女子ソフトボールの優勝、すばらしかったですね。私はスポーツの応援はあまり好きでなく、自分でやる方が好きなのですが、地元のソフトボールチームに所属しているので、他の競技とは違う思い入れで見てましたが、実にすばらしい！

さて、Security Solution 2008で出展している不正接続検知システムのIntraGuardianですが、59800円という衝撃的な価格の効果もあり、かなり興味を持っていただいているのですが、スペックで、対象台数を253台としている点が引っかかるというご意見をいただいております。システム的には実は制限を設けておらず、単によく使われるクラスCのネットワークセグメントを想定して検証などを行ってきたためというスペックなのですが、ネットワークセグメント内の端末台数を増やす、つまり、ネットマスクを小さくしたネットワークを使うというのは、単に接続可能な台数の差があるだけではなく、デメリットもあるのです。

ネットワークセグメントというのは一言で言えばブロードキャストが届く範囲ということになりますが、ブロードキャストというのは実は注意が必要なのです。例えば、IPv4で、192.168.0.0/24のネットワークセグメント内でUNIX系のホストで、「ping -b 192.168.0.255」と、ブロードキャスト宛にpingを行うと、セグメント内の全ホストからping応答が戻ってきます。1000台繋がっていれば、1000台から応答が一気に返ってくるのです。

私が以前支援したマンション向けのシステムで、1セグメントに1400代以上の端末を接続していたシステムがあったのですが、数分に1回ネットワークが重たくなる、という障害があり、調べて欲しいと相談をうけました。パケットを観察すると、数分に1回ping応答が全端末から送信されていて、その元になっていたのは、サーバのクラスターシステムで、自分がネットワークにきちんと繋がっているかどうかを確かめるためにブロードキャスト宛にpingして調べるという仕組みだったのです。そのクラスターシステムはブロードキャスト宛のpingを停めることはできないシステムでしたので、システム更新時にセグメントを分割するまでその障害は直せなかったのでした。

同じシステムで、ネットワークが全体でダウンしたということで緊急調査に向かったこともありました。原因はブロードキャストストーム、つまり、ネットワーク内のHUBでループを作ってしまったためでした。ループが存在するとブロードキャストパケットは無限に送信を繰り返してしまい、ネットワークをダウンさせてしまうのです。これもセグメントが分割されていれば被害の範囲も狭く、場所の特定も容易だったのです。

このように、ネットワークセグメントは安易に1セグメントを巨大化させると危険な面もあるのです。情報セキュリティ的にも分割してある方が様々な面で有利です。そういう背景もあり、IntraGuardianはクラスCの253台をスペックとしていたのですが、そうは言っても既設のネットワークはなかなか変更が難しいという場合も多いと思いますので、大きいセグメントで再検証してスペックは見直そうと考えているところです。

これからネットワークの設計を行う際には是非セグメントを意識してみてください。