こんにちは、ネットアシスト運用チームのhaokiです!
クラウド活用が進む中でも、「オンプレミスを完全に捨てられない」という企業は多いと思います。 そんなハイブリッド構成の強い味方が、さくらのクラウドが提供するL2スイッチ機能です。
今回は「L2スイッチの便利さ」をしっかり押さえた上で、見落としがちなセキュリティリスクと、その対策まで一気に解説します。 構成を検討中の方もすでに使っている方も、ぜひ最後まで読んでみてください。
さくらのクラウドのL2スイッチが便利な理由
さくらのクラウドのL2スイッチを使うと、クラウド上の仮想サーバーとオンプレミスのサーバーを同じL2セグメント(同一ブロードキャストドメイン)に接続できます。 つまり、物理的に離れた場所にあるサーバー同士が「同じスイッチにつながっているかのように」通信できるわけです。
OSI参照モデルの第2層(データリンク層)で動作するスイッチ機能。MACアドレスを使って同一ネットワーク内の通信を制御します。さくらのクラウドではこれを仮想的に提供することで、クラウド<->オンプレミス間の透過的なL2ネットワーク延伸を実現しています。
具体的にどんなメリットがあるか、表で整理してみます。
| メリット | 内容 |
|---|---|
| ケーブル感覚でつながる | IPアドレス体系を変えずにクラウドへ拡張。既存構成をほぼそのまま活かせる |
| 低レイテンシ通信 | 同一L2セグメントのためルーティング不要。サービス間の通信が高速 |
| コスト削減 | 高価な専用線を引かずにVPNルータ経由でL2延伸できる。段階的なクラウド移行がしやすい |
| 柔軟な構成 | DR(災害復旧)構成やバースト対応のハイブリッドクラウドに最適 |
特に「オンプレの既存IPアドレス体系を維持したままクラウドを拡張できる」点は、システム移行期の並行稼働やバースト処理のオフロードに大変重宝します。
典型的な接続構成イメージ
実際にどんな構成になるか、図で確認してみましょう。
【オンプレミス側】 【さくらのクラウド側】
[オンプレサーバー 192.168.1.10] --+
|
[オンプレDB 192.168.1.20] --+-- [VPNルータ] ----インターネット---- [さくらのクラウド L2スイッチ]
|
+-----------------+-----------------+
| | |
[VM-A 192.168.1.101] [VM-B 192.168.1.102] [VM-C 192.168.1.103]
便利ですよね! …でも、ここで少し立ち止まって考えてみましょう。
L2ネットワークは攻撃者にとっても「便利」
L2スイッチが「同じネットワークにいるかのように通信できる」という性質は、攻撃者がL2セグメントに侵入した場合にも同様に機能します。
L2ネットワークには「接続されているノードを信頼する」という特性があります。そのため、不正なノードが一台でも混入すると、ARPスプーフィングなどの古典的な攻撃が非常に有効に機能してしまいます。
ARPスプーフィング攻撃とは?
ARP(Address Resolution Protocol)はIPアドレスをMACアドレスに変換するプロトコルです。 このプロトコルには認証機能が存在しないという根本的な弱点があります。 攻撃者はこれを悪用して偽のARPレスポンスをばらまき、ネットワーク上の通信を自分のマシンに誘導できます。
実際の攻撃ツール(Kali Linux環境)を例に、どのように行われるか見てみましょう。
# ターゲットネットワークをスキャン attacker@kali:~$ arp-scan --interface eth0 192.168.1.0/24 Starting arp-scan 1.9.8 ... 192.168.1.10 00:11:22:33:44:aa OnPremise-Server 192.168.1.20 00:11:22:33:44:bb OnPremise-DB 192.168.1.101 00:11:22:33:44:cc Cloud-VM-A 192.168.1.1 00:11:22:33:44:ff Gateway # IPフォワーディングを有効にして中間者ポジションを確立 attacker@kali:~$ echo 1 > /proc/sys/net/ipv4/ip_forward # ARPスプーフィング開始(arpspoof) attacker@kali:~$ arpspoof -i eth0 -t 192.168.1.10 -r 192.168.1.1 arp reply: 192.168.1.1 is-at aa:bb:cc:11:22:33 # 偽のARPレスポンス送信中 arp reply: 192.168.1.10 is-at aa:bb:cc:11:22:33 # 攻撃者のMACアドレスに書き換え # 全通信をキャプチャ開始 attacker@kali:~$ tcpdump -i eth0 -w /tmp/capture.pcap tcpdump: listening on eth0 ... # オンプレ <-> クラウド間の通信を傍受中...
攻撃シナリオ:ステップ by ステップ
-
1初期侵入 ― L2セグメントへの足がかり
脆弱なVMへの侵入や不審なアクセスなど、何らかの方法でL2セグメント内のノードを1台制御下に置く。L2に「繋がっている」だけで次の攻撃が可能になる。
-
2ARPキャッシュポイズニング
被害者のARPキャッシュに偽情報を書き込む。「ゲートウェイ(192.168.1.1)のMACは攻撃者のMAC」という嘘を信じ込ませる。認証機構がないため容易に成立する。
-
3中間者攻撃(MitM)― 全通信を傍受
被害者の全通信が攻撃者のマシンを経由するようになる。HTTP平文通信はもちろん、DBクエリや認証情報まで丸見えになる。
-
4横展開 ― オンプレ・クラウド双方に被害が波及
L2延伸しているため、クラウド側・オンプレ側両方に横展開が可能。クラウドで得た情報でオンプレに侵入、またはその逆も。境界が曖昧なL2構成の最大の落とし穴。
通常の通信経路:
[オンプレサーバー] --> [VPNルータ] --> [L2スイッチ] --> [クラウドVM]
ARPスプーフィング後:
[オンプレサーバー] --> [VPNルータ] --> [攻撃者VM] --> [L2スイッチ] --> [クラウドVM]
|
全通信を傍受・改ざん可能
セキュリティ対策 ― L2延伸を安全に使うために
L2スイッチが危険というわけではありません。適切な対策を講じることで、利便性とセキュリティを両立できます。 重要なのは「L2は信頼できない」という前提でセキュリティ設計を行うことです。
-
静的ARPエントリの設定
重要なノードについては静的ARPエントリを手動で設定しておくことが有効。ARPキャッシュを固定することで偽のARPレスポンスで上書きされにくくなる。
-
パケットフィルタによるL2内通信制御
さくらのクラウドのパケットフィルタを活用し、L2セグメント内でも「必要な通信のみ許可」するホワイトリスト方式を徹底。ノード間の不要な横通信を遮断する。
-
通信の暗号化(TLS / mTLS)を必須化
L2で傍受されてもデータが読めないよう、アプリケーション層での暗号化を必須に。特にDBへの接続はTLSを強制設定し、平文通信を排除する。(TLS有効化の記事はこちら)
-
IDS / IPS・ネットワーク監視の導入
ARPスプーフィングはトラフィックパターンの異常として検知可能。IDSをL2セグメントに配置し、不審なARPパケットをリアルタイム検知・アラート。
-
ゼロトラストアーキテクチャへの移行検討
「L2で繋がっているから信頼する」から「常に認証・認可する」設計へ。マイクロセグメンテーションやIAM連携で、万が一侵入された場合でも横展開の被害範囲を最小化する。
-
定期的なセキュリティ診断・侵入テスト
構成変更のたびに攻撃面を再評価する。特にL2延伸範囲の拡大時はARPスプーフィングシミュレーションを実施し、対策の有効性を検証する。
複雑な構成の設計・運用はネットアシストにご相談を
L2スイッチを使ったハイブリッドクラウドは便利な反面、セキュリティ設計が複雑です。 VPNルータの選定・設定、L2延伸後のセグメント設計、静的ARPエントリの管理、暗号化の徹底……どれかひとつ抜けても穴になります。
ネットアシストはさくらインターネットのセールスパートナー制度で最上位のアドバンスランクを取得しており、さくらのクラウドを使ったハイブリッド構成の設計から構築・監視・保守運用まで一気通貫で対応しています。
「まず相談だけ」でも大歓迎です。お気軽にお声がけください。
まとめ
今回の内容を整理します。
- さくらのクラウドのL2スイッチは、オンプレとクラウドをシームレスにつなぐ強力な機能
- その「つながりやすさ」は、攻撃者にとっても同様に機能する
- ARPスプーフィングのようなL2レイヤーの攻撃は古典的ながら今でも有効で、クラウド+オンプレ構成では被害範囲が一気に広がる
- 静的ARPエントリ・暗号化・パケットフィルタ等を組み合わせることで、利便性とセキュリティを両立できる
- 複雑な構成や監視体制の整備は、ネットアシストへ気軽に相談を
「自社のL2構成のセキュリティが心配」「ハイブリッドクラウドの設計を一から見直したい」といったお悩みは、ぜひネットアシストにご相談ください。一緒に最適な構成を考えます。
それではまた!
