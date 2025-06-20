セキュリティーの強化：Direct Link DedicatedでのMACsecの導入

クラウド コンピュートとサーバー セキュリティー

2025年6月20日

Direct Linkチームは、Direct Link Dedicatedのメディア・アクセス制御セキュリティー（MACsec）な機能の一般提供を開始することをお知らせいたします。MACsec はハードウェアベースの暗号化を提供し、高帯域幅のアプリケーションに不可欠な最小限の遅延と高いスループットを実現します。2025年6月1日にリリース予定です。最初の対応市場にはトロント、モントリオール、ダラス、ワシントンDCが含まれます。

IBM Cloud Direct Link Dedicated for VPCについて

IBM Cloud Direct Link Dedicated for VPC は、お客様のオンプレミス・インフラストラクチャーとIBM Cloud VPCおよびクラシック・インフラストラクチャー間の高速 OSI レイヤー 3 直接接続を提供し、低遅延と最大10 Gbpsのスループットを実現します。近くのコロケーション施設やサービス・プロバイダーが顧客回線を管理する企業向けに設計された、このシングルテナントのファイバーベースのソリューションは、安全でシームレスなハイブリッドクラウドの接続を保証します。

MACsecのメリット

MACsecは、ARPやDHCPなどのコントロール・プレーン・プロトコルを含むすべてのイーサネット・トラフィックを保護します。MACsecは、ローカル・イーサネット・リンクにきめ細かく高性能なセキュリティーを提供することに優れています。その他のメリットは以下のとおりです。

  • レイヤー2の脅威からの保護：ローカル・ネットワーク内のMACスプーフィング、ARPポイズニング、盗聴に対する防御
  • コントロール・プレーン・プロトコルを保護：DHCP、ARP、LLDPを保護し、ネットワーク・インフラ全体のレジリエンスを強化します。
  • きめ細かなLANセキュリティー：レイヤー2でイーサネットフレームを暗号化し、IPsecと比較してより局所的なセキュリティーを実現します。
  • 低遅延のラインレート性能：ハードウェアベースの暗号化と復号化により、高帯域幅であってもパフォーマンスへの影響を最小限に抑えます。ソフトウェアベースの暗号化に比べて、低遅延になります。
  • CPUオーバーヘッドの削減：暗号化は専用ハードウェアによって処理されるため、IPsecのソフトウェアベースの処理と比較してCPU負荷が軽減されます。
  • 受動的攻撃に対する保護：盗聴、侵入、再生攻撃から保護します。
  • 上位層セキュリティーの補完： IPsecのような上位層プロトコルではカバーされていないネットワークの脆弱性に対処するローカル・セキュリティー層を追加します。

MACsecの仕組み

このレイヤー2ネットワーク規格（IEEE 802.1AE）は、いくつかの主要なメカニズムを通じてイーサネット接続されたデバイスを強化します。

  • オリジン認証：ピアMACsecデバイスは、名前と秘密からなる接続アソシエーション鍵（CAK）を使用して相互に認証します。この両方はピア間で正確に一致する必要があります。
  • リプレイ保護：構成可能なウィンドウにより、定義された数のシーケンス外のフレームを受け入れることができ、リプレイ攻撃から防御します。
  • データの機密性： セキュアなセッションがアクティブになると、データはMACsec Key Agreement（MKA）プロトコルを通じて派生したSecure Association Key（SAK）を使用して暗号化され、データ・プライバシーが保証されます。
  • データの整合性：各フレームには整合性チェック値（ICV）が含まれており、受信側で予想される値と一致する必要があり、データが改ざんされていないことが保証されます。

この機能は、プライマリーCAKとオプションのフォールバックCAKを備えた構成可能なMACsecポリシーを提供します。フォールバックCAKはバックアップとして機能し、ピア間でプライマリーCAKと名前または秘密の不一致が発生した場合に、MACsecセッションを保護します。CAKの秘密は、お客様のHPCSインスタンス内にHyper Protect Crypto Services（HPCS）キー・リソースとして安全に保存されます。ピアにMACsecポリシーとCAKが構成されると、Direct LinkによってMACsecセッションが開始され、お客様のMACsec対応デバイスとIBMクロスコネクト・スイッチ間で交換されるデータ・フレームが保護されます。

機能ロードマップ

MACsecのカバレッジは現在の場所を超えて拡大し続けます。すべての新しいDirect Linkスイッチのインストールは、MACsec対応になります。将来的には、有効期限のある複数のプライマリーCAKのサポートにより、お客様はCAKローテーションを事前に構成できるようになります。

未来のために

期間限定のプロモーション・コード VPC1000 を使用すると、1,000米ドル相当の無料IBM Cloudクレジットを取得して、IBM Cloud Direct Link Dedicatedのジャーニーを開始できます。

IBM Cloud Direct Linkの詳細はこちら

