【swonet.conf_ 2025】AI基盤からエッジまで、多様化するネットワークとテストの進化

Transcript

1. AI基盤からエッジまで、 多様化するネットワークとテストの進化 ShowNet NOC Team Member テスター担当 西形 渉 1

2. テスターチームの役割 ➢ ShowNetを安定稼働させる ✓ みんなが安心して利用できるネットワーク作り ✓ あらゆるレイヤで発生する課題をあぶり出す ➢ テスター業界のトレンドを発信する ✓

   新技術の相互接続や新製品の事前検証 ➢ 各種検証/評価をサポートする ✓ ShowNet活用デモに利用するトラフィック生成 ✓ 製品性能評価（コントリビューター様からの依頼） Tester 2

3. ShowNetで注力する要素 ① 3 疎通性だけでなく 期待したサービス品質が 提供できるか？ インタロップの語源である 『Interoperability』 正しく相互に接続できるか？ 出展社や来場者を

   危険に晒すことなく 期待通り守れるか？ パフォーマンス プロトコル セキュリティ Tester

4. ShowNetで注力する要素 ② 4 疎通性だけでなく 期待したサービス品質が 提供できるか？ インタロップの語源である 『Interoperability』 正しく相互に接続できるか？ 出展社や来場者を

   危険に晒すことなく 期待通り守れるか？ パフォーマンス プロトコル セキュリティ テストの自動化 Tester テストの効率化

5. 今年のテストプラン ➢ ネットワーク試験 ✓ 高速/大容量化するネットワークに対応する試験 • 400GE/800GEのコネクティビティ • AI/MLに関連したテストソリューションの活用 ➢

   セキュリティ試験 ✓ 複雑/多機能化するセキュリティインフラに対応する試験 • セキュリティテストのベストプラクティス ⁃ 大量のポリシーチェック ⁃ 脆弱性対策（未知含む） ⁃ NDR, EDR, XDRの機能試験 ➢ 試験の自動化 ✓ CI/CDパイプラインへの組み込みを意識 • 作成したシナリオをスクリプト化してリモートから実行 • マルチベンダーのテスターを共通スクリプトで制御 Tester 5 Protocol : SRv6, EVPN/VXLAN, RoCEv2 Performance : 800G / 400G / 100G Security : Policy Check, Exploit/Malware, Fuzzing, SBOM Automation : Open Traffic Generator API

6. 今年のテーマ AI基盤からエッジまで、 多様化するネットワークとテストの進化 - DCネットワークにおけるRoCEv2のパフォーマンス検証 - ファジングテストによるファームウェアの堅牢性確認 - 共通APIを使用したベンダーニュートラルな試験自動化環境の構築 Tester

   6

7. コントリビューション機器 Tester 7 コントリビューター 提供機器 プラットフォーム カテゴリ 用途 NTTアドバンステクノロジ様 ROME

   mini -- Fiber Robot Patch テスターラック（N-9） 華為技術日本様 DC808 -- Layer 1 Switch DCラック（D-4） 東陽テクニカ様 TestCenter B3（OSFP） ハードウェア L2-L3 800G, RoCEv2 TestCenter A1 ハードウェア L2-L3 400G, SRv6, EVPN/VXLAN, RoCEv2, OTG CyberFlood 30 ハードウェア L4-L7 / Security HTTP/HTTPS, HTTP2, HTTP3, QUIC, Malware/Exploit Defensics ハードウェア Security WiFi AP Fuzzing スパイレントコミュニケーションズ様 CyberFlood 400 ソフトウェア L2-L3 RoCEv2 エーピーコミュニケーションズ様 NEEDLEWORK ソフトウェア L2-L7 / Secrutiy Firewall Policy Check アイビーシー様 tenable.one ソフトウェア Security Vulnerability Assessment キーサイト・テクノロジー様 AresONE-M-800G ハードウェア L2-L3 400G, SRv6, EVPN/VXLAN, RoCEv2 KAI Data Center Builder ソフトウェア RoCEv2 RoCEv2 XGS2-HSL ハードウェア L2-L3 SRv6, EVPN/VXLAN, OTG APS-ONE（CyPerf） ハードウェア L4-L7 / Security HTTP/HTTPS, HTTP2, Malware/Exploit IoT Security Assessment ソフトウェア Security SBOM Generation Threat Simulator ソフトウェア Security Breach and Attack Simulation ※ 赤字は初めてコントリビューション頂いたテスターです。

8. ShowNet 2025 Tester 8 ※ 同じ装置に複数のテストポートがアサインされている場合は高速なテストポートを表示しています。 400GE 100GE 800GE 10GE

   1GE 凡例 Layer 1 Switch Robot Optical Patch Hardware Tester Software Tester Hardware Tester Fuzzing Tester

9. Tester 9 HONDO CORE 出展社収容 MOBILE MoIP Stage POD DEJIMA

   rome-mini.tester 39-46 1G-T (UTP Cable) to Keysight Server kai-dc-builder-1.tester KCCB Threat Simulator CyPerf Load Core 1G-T (UTP Cable) to 出展社収容 (ge-0-0-46.ex4400.noc) TESTER RACK DC MoIP 400G 100G 10G 1G SMF 2芯 SMF MPO-12 MTO-12 x 2 = 800G x 1 Link tenable.one 1G-T (UTP Cable) to mgmt for Vulnerability Assessment DC Server sm-1 sm-2 sm-3 sm-24 sm-5 sm-6 sm-7 sm-21 sm-8 sm-9 sm-10 sm-11 xg-0-1-7.mx204.noc fhg-0-0-3-0.ncs57c3.noc hg-0-2-0-15.cisco8712.noc fhg-0-0-31.cisco8201-32fh.noc fhg-0-0-30.ptx10002.noc hg-0-0-14.mx304.noc hg-0-1-66.ne8000-f2c-2.noc hg-0-0-31.ptx10002.noc xg-0-0-0-12.cisco8712.noc xg-0-0-0-13.cisco8712.noc xg-0-0-0-14.cisco8712.noc xg-0-0-0-15.cisco8712.noc sm-12 sm-13 sm-14 sm-15 hg-5.sn4700.5g hg-6.sn4700.5g hg-7.sn4700.5g hg-8.sn4700.5g sm-16 xg-0-2-3.ex4400.noc ge-0-0-46.ex4400.noc ge-0-0-47.ex4400.noc xg-1-1-8.catalyst9300.pod5s xg-0-0-4.ce5732h.pod6s xg-1-54.nexus93108tc-fx-1.pod7s xg-0-0-4.ce5732h.pod8s sm-17 sm-18 sm-19 sm-20 sm-22 sm-23 hg-0-1-55.ne8000-f1a-1.stage xg-0-0-27.acx7024x.stage sm-25 sm-26 sm-27 sm-28 sm-29 sm-30 sm-31 sm-32 sm-33 sm-34 sm-35 sm-36 sm-37 sm-38 sm-39 sm-40 sm-1 sm-2 sm-3 sm-4 sm-5 sm-6 sm-7 sm-8 sm-9 sm-10 sm-11 sm-12 sm-13 sm-14 sm-15 sm-16 sm-159 sm-161 dc808.tester hg-0-0-53.acx7100.moip xg-1-1-24.fx2.moip sm-33 sm-35 sm-37 sm-39 sm-47 sm-49 sm-51 sm-53 fhg-1-5.nexus9332d-2.dc fhg-1-6.nexus9332d-2.dc fhg-1-31.nexus93600cd-gx.dc fhg-1-32.nexus93600cd-gx.dc fhg-0-0-3.qfx5240-2.dc fhg-0-0-4.qfx5240-2.dc fhg-0-0-3.qfx5240-3.dc fhg-0-0-4.qfx5240-3.dc sm-89 sm-91 sm-93 sm-95 sm-145 sm-147 fhg-1-7.nexus9332d-2.dc hg-1-2.nexus93600cd-gx.dc hg-0-0-5.qfx5240-2.dc hg-0-0-5.qfx5340-3.dc xg-0-0-0-27.cisco8011.dc xg-1-1-24.fx2.dc sm-49 sm-50 sm-51 sm-52 sm-53 sm-54 sm-55 sm-56 sm-57 sm-58 sm-59 sm-60 sm-61 sm-62 sm-63 sm-64 sm-65 sm-66 sm-67 sm-68 sm-69 sm-70 sm-71 sm-72 testcenter-a1.tester cyberflood-30.tester fhg-1-1 fhg-1-2 fhg-1-3 fhg-1-4 fhg-1-5 fhg-1-6 fhg-1-7 fhg-1-8 hg-1-9 hg-1-10 hg-1-11 hg-1-12 fhg-1-13 fhg-1-14 fhg-1-15 fhg-1-16 xg-1-1 xg-2-1 cyberflood-400.tester CyberFlood VM Landslide VM aresone-800g.tester xgs2-sdl.tester sm-73 sm-74 sm-75 sm-76 sm-77 sm-78 sm-79 sm-80 fhg-1 fhg-2 fhg-3 fhg-4 fhg-5 fhg-6 fhg-7 fhg-8 sm-81 sm-82 sm-83 sm-84 sm-85 sm-86 hg-1/1 hg-1/2 xg-2/1 xg-2/5 xg-2/9 xg-2/13 sm-87 sm-88 needlework.tester xg-1 xg-2 aps-one.tester hg-1 hg-3 sm-89 sm-90 sm-91 sm-92 sm-93 sm-94 hg-1 hg-3 hg-5 hg-7 kai-dc-builder-2.tester KCCB Threat Simulator CyPerf Load Core testcenter-b3.tester ehg-0-0-4.qfx5240-1.dc ehg-0-0-5.qfx5240-1.dc ehg-1 ehg-2 1G-T (UTP Cable) to 出展社収容 (ge-0-0-47.ex4400.noc) hg-1 hg-2 xg-1 ge-4 hg-1 hg-2 xg-1 ge-4

10. ネットワーク試験 ➢バックボーン ✓バックボーンルーター間のパフォーマンスに問題ないことを確認する • ① エッジルーター（PE）<-> エッジルーター（PE） ⁃ テスターからUDPトラフィックを生成し、エッジルーターがEncap処理をする。 •

    ② コアルーター（P）<-> エッジルーター（PE） ⁃ テスターからSRv6 Encapトラフィックを生成し、エッジルーターがDecap処理をする。 ⁃ テスターはSRv6プロトコルエミュレーションを使用して、トラフィックを自動生成する。 • ③ 出展社収容ルーター（PE）<-> エッジルーター（PE） ⁃ テスターからVXLAN Encapトラフィックを生成し、出展社収容ルーターでVXLAN Decap/SRv6 Encapさ れたトラフィックを、エッジルーターがDecap処理をする。 ⁃ テスターはEVPN/VXLANプロトコルエミュレーションを使用して、トラフィックを自動生成する。 Tester 10 製品名 対応リンク速度 ① ② ③ プラットフォーム コントリビューター TestCenter A1 400G / 100G / 10G o o o ハードウェア 東陽テクニカ様 XGS2-HSL 100G / 10G / 1G o o o ハードウェア キーサイト・テクノロジー様

11. バックボーン試験 ➢トラフィックジェネレーション ✓プロトコルエミュレーションによるテストパスの細分化 Tester 11 IP IP （ルーターに追加設定） IP SRv6

    EVPN/VXLAN SRv6

12. バックボーン試験 Tester 12 ➢プロトコルエミュレーション ✓SRv6 ✓EVPN/VXLAN EVPN/VXLAN SRv6 BGP >

    show route 45.0.200.208/28 brief 45.0.200.208/28 *[BGP/170] 01:49:43, localpref 0, from 2001:3e8::9 AS path: I, validation-state: unverified > to fe80::bed2:95ff:fe5a:8820 via et-0/0/1.0, SRv6 SID: fcbb:bb00:6091::, SRV6-Tunnel, Dest: fcbb:bb00:6091:: > show route 45.0.200.240/28 brief 45.0.200.240/28 *[BGP/170] 01:50:31, MED 110, localpref 100, from 2001:3e8::8 AS path: I, validation-state: unverified > to fe80::bed2:95ff:fe5a:8820 via et-0/0/1.0, SRv6 SID: fcbb:bb00:6006:e000::, SRV6-Tunnel, Dest: fcbb:bb00:6006:: [BGP/170] 01:50:31, MED 110, localpref 100, from 2001:3e8::9 AS path: I, validation-state: unverified > to fe80::bed2:95ff:fe5a:8820 via et-0/0/1.0, SRv6 SID: fcbb:bb00:6006:e000::, SRV6-Tunnel, Dest: fcbb:bb00:6006:: SRv6 EVPN/VXLAN IPv4 IPv4 エミュレーションしたネットワークが バックボーンルーターの経路表に登録されている

13. バックボーン試験 Tester 13 ➢トラフィックジェネレーション ✓プロトコルエミュレーションによるテストパスの細分化 Traffic Path ixnetwork-1 ---------------> ptx10002

    -> cisco8712 -> ixnetwork-3 : 1Gbps ixnetwork-1 <--------------- ptx10002 <- cisco8712 <- ixnetwork-3 : 1Gbps ixnetwork-2 -> ne8000-f2c -> ptx10002 -> cisco8712 -> ixnetwork-3 : 1Gbps ixnetwork-2 <- ne8000-f2c <- ptx10002 <- cisco8712 <- ixnetwork-3 : 1Gbps cisco8712 ptx10002 ne8000-f2c SRv6 EVPN/VXLAN テストパス 1 テストパス 2 ixnetwork-1 ixnetwork-2 ixnetwork-3 各トラフィックパスのフロー状態を確認することで、 調査すべきリンクの特定が容易になる

14. ネットワーク試験 ➢ データセンター ✓ ① RoCEv2トラフィックに対するECN/PFCの動作確認 • 輻輳発生時にECN/PFCが動作していること ✓ ②

    コレクティブ通信におけるJCT(Job Completion Time)の測定 • ハードウェアテスターとソフトウェアテスターにおける差異 Tester 14 製品名 対応リンク速度 ① ② プラットフォーム コントリビューター TestCenter A1 400G / 100G o o ハードウェア 東陽テクニカ様 CF400 100G -- o ソフトウェア 東陽テクニカ様 AresONE-M 800G 400G / 100G o o ハードウェア キーサイト・テクノロジー様 Keysight AI Data Center Builder 100G -- o ソフトウェア キーサイト・テクノロジー様

15. データセンター試験 ➢試験構成 ✓.dc内のLeaf配下にテスターを接続 • qfx5240-1..3, nexus9332d-1..2, nexus93600cd-gxのSpine-Leaf構成 • Leafに400G-FR4 x

    2, 100G-LR4のテストポートを配置 • L1-SWを活用して試験構成（テスター）を柔軟に変更 Tester 15 800G-DR8 x 2 qfx5240-1 nexus9332d-1 qfx5240-2 qfx5240-3 nexus93600cd-gx nexus9332d-2 400G-FR4 x 2 100G-LR4 x 1 400G-FR4 x 2 100G-LR4 x 1 400G-FR4 x 2 100G-LR4 x 1 400G-FR4 x 2 100G-LR4 x 1

16. データセンター試験 ➢800GE接続検証 ✓800G x 1 インスタンス ✓LPO（Linear Pluggable Optics）トランシーバー •

    DSP非搭載 ⁃ Digital Signal Processor：信号補正 ⁃ ホストが直接補正ため対応機器が必要 • 低消費電力/低遅延 • 短距離 Tester 16 800G x 1 Instance における 800G Full Rate 通信 接続先がLPOトランシーバーを使用していたが、 リンクアップおよび通信品質に問題はなかった

17. ➢UET（Ultra Ethernet Transport）接続検証 データセンター試験 Tester 17 Ultra Ethernet Transport RoCEv2

18. ➢コレクティブ通信 ✓（簡単に説明すると）サーバー間のデータ交換プロセス ✓ Broadcast, Scatter, Gather, All-Gather, All-Reduce etc... ✓

    All-Reduce データセンター試験 Tester 18 ① ② ① ④ ③ ① ② ① ④ ③ ① ② ① ④ ③ ① ② ① ④ ③ ① ② ① ④ ③ ① ② ④ ③ ① ② ① ④ ③ ① ② ① ④ ③ ④ ② ① ④ ③ ① ② ④ ② ① ② ③ ① ① ④ ③ ① ③ ① ① ① ③ ③ ③ ④ ④ ④ ② ② ② ① ② ③ ④ ① ① ① ③ ③ ③ ④ ④ ④ ② ② ② ① ② ③ ④ ① ③ ④ ② ① ② ① ④ ③ ① ② ① ④ ③ ① ② ① ④ ③ ① ② ① ④ ③

19. ➢RoCEv2（ハードウェアテスター） ✓コレクティブ通信 • ネットワークがGPU処理のボトルネックになる可能性がある データセンター試験 Tester 19 GPU IDLE 輻輳制御が動作して作業効率が悪い

    作業効率が良い 輻輳制御により データ転送に遅延 注意：右図においても、左図同様の遅延があるように見えますが、 結果表示の縮尺比の違いによるもので、右図の通信では輻輳は発生していません。 GPUのアイドル時間を 最小限に調整

20. ➢RoCEv2（ハードウェアテスター） ✓コレクティブ通信 • 400GE x 8におけるAll-Reduceの測定結果 データセンター試験 Tester 20 4

    RANK - Before Optimization 8 RANK - After Optimization 輻輳制御によりデータ 転送時間にばらつきがある ShowNet Tested

21. ➢RoCEv2（ソフトウェアテスター） ✓ハードウェアテスター：NICまでエミュレーション ✓ソフトウェアテスター：サーバーに搭載されているNICを使用 • NICの設定を含めたパラメータ調整が可能 データセンター試験 Tester 21

22. ネットワーク試験 ➢サービスエッジ ✓出展社収容スイッチとバックボーン間のパフォーマンスに問題がないことを 確認する。 • 出展社収容スイッチ <-> バックボーンルーター ⁃ テスターを出展社収容スイッチに接続して出展社を疑似する。

    ⁃ ① テスターからHTTP/HTTPS（or HTTP2やQUICなど）トラフィックを送受信する。 ⁃ ② 合わせて攻撃トラフィック（Malware and Expolit）が検知/遮断されることを確認する。 Tester 22 製品名 対応リンク速度 ① ② プラットフォーム コントリビューター CF30 10G / 1G o o ハードウェア 東陽テクニカ様 APS-ONE 400G / 100G o -- ハードウェア キーサイト・テクノロジー様 CyPerf 100G / 10G / 1G o -- ソフトウェア キーサイト・テクノロジー様 NEEDLWORK 10G / 1G o (UDP Traffic) -- ソフトウェア エーピーコミュニケーションズ様

23. サービスエッジ試験 ➢対象ホール ✓Hall4, Hall5, Hall6, Hall7, Hall8 ➢確認事項 ✓サービススループット •

    IPv4/IPv6の疎通性（Global/Private） • CGNの動作確認 • セキュリティサービスの有効性 • ホール間の回線品質（伝送/ケーブル） Tester 23 Hall8s Hall7s Hall6s Hall5s Hall4(N-11) thunder7440 pa77500 srx4700

24. サービスエッジ試験 ➢トラフィック定義 ✓アドレス体系 • IPv4/IPv6 • Global/Private ✓正常トラフィック • HTTP

    • HTTPS Tester 24 L47 Throughput あらかじめ試験で使用する各ホールの アドレス体系を定義して、テストパスを切り替える L23 Throughput Request Rate Simulated User Connection Rate TCP Latency

25. サービスエッジ試験 ➢トラフィック定義 ✓アドレス体系 • IPv4/IPv6 • Global/Private ✓正常トラフィック • HTTP

    • HTTPS • HTTP2 • QUIC ✓攻撃トラフィック • Malware（セキュリティ試験） • Exploit（セキュリティ試験） Tester 25 プロトコルに応じた動作確認や攻撃トラフィックを 混在させることで、よりリアルトラフィックに近い状態で試験を実行

26. サービスエッジ試験 ➢コネクションとスループットの関係 ✓ スループットとユーザー数を固定した場合、ユーザー毎のスループットを調整して目標値を維持 ✓ コネクションあたりのデータサイズに応じて秒間コネクション数（CPS）が変化する ✓ データサイズを小さくすると転送時間が短くなりCPSが増える（右図） Tester 26

    1 Time TP TP Time 1 2.0Gbps 2 3 2 CPS = 13 CC = 9 CPS = 15 CC = 8 CPS = 16 CC = 9 4 3 4 CPS = 15 CC = 8 CPS = 10 CC = 10 CPS = 6 CC = 9 CPS = 6 CC = 8 CPS = 8 CC = 10 赤：コネクション時間 緑：トランザクション時間

27. サービスエッジ試験 ➢コネクションとスループットの関係 ✓ コネクションあたりのトランザクション数によってもCPSが変化する ✓ コネクション毎のトランザクション数を増やすとCPSが下がる Tester 27 Time TP

    TP Time 1 2.0Gbps 2 CPS = 10 CC = 9 TS = 4 CPS = 0 CC = 10 TS = 17 CPS = 7 CC = 9 TS = 17 3 4 CPS = 0 CC = 10 TS = 16 1 2 CPS = 10 CC = 9 TS = 4 CPS = 8 CC = 9 TS = 15 CPS = 8 CC = 9 TS = 15 3 4 CPS = 8 CC = 9 TS = 14 赤：コネクション時間 緑：トランザクション時間

28. サービスエッジ試験 ➢コネクションとスループットの関係 ✓ （4 Transactions / 1 TCP Connection のCPSを増やす目的で）ユーザー数を増やした場合、

    ✓ コネクションあたりのデータ転送時間が長くなり、更にCPSが減少する（左図） ✓ 通常はユーザー数の増加に伴い必要帯域も増加する（右図） Tester 28 Time TP TP Time 1 2.0Gbps 2 3 4 1 2 3 4 CPS = 12 CC = 11 TS = 6 CPS = 0 CC = 12 TS = 21 CPS = 9 CC = 12 TS = 20 CPS = 3 CC = 10 TS = 20 CPS = 15 CC = 14 TS = 0 CPS = 0 CC = 15 TS = 14 CPS = 0 CC = 15 TS = 14 CPS = 0 CC = 15 TS = 14 赤：コネクション時間 緑：トランザクション時間

29. サービスエッジ試験 ➢コネクションとスループットの関係 ✓ コネクションあたりのトランザクション数を減らすことで、CPSは増加する Tester 29 Time TP TP Time

    1 2.0Gbps 2 3 4 1 2 3 4 CPS = 15 CC = 14 TS = 8 CPS = 13 CC = 14 TS = 25 CPS = 13 CC = 15 TS = 23 CPS = 12 CC = 13 TS = 26 CPS = 21 CC = 13 TS = 8 CPS = 21 CC = 12 TS = 21 CPS = 22 CC = 11 TS = 24 CPS = 21 CC = 12 TS = 22 赤：コネクション時間 緑：トランザクション時間

30. サービスエッジ試験 ➢コネクションとスループットの関係 ✓ 同じ2Gbpsの試験においても、試験シナリオの違いにより負荷も大きく変わる Tester 30 Time TP TP Time

    1 2.0Gbps 2 3 4 1 2 3 4 CPS = 21 CC = 13 TS = 8 CPS = 21 CC = 12 TS = 21 CPS = 22 CC = 11 TS = 24 CPS = 21 CC = 12 TS = 22 CPS = 10 CC = 10 TS = 0 CPS = 6 CC = 9 TS = 7 CPS = 6 CC = 8 TS = 6 CPS = 8 CC = 10 TS = 7 赤：コネクション時間 緑：トランザクション時間

31. サービスエッジ試験 ➢コネクションとスループットの関係 ✓ コネクション数による負荷の影響 • 同じ帯域のスループット試験で異なるデータサイズを使用した際のRTT値 Tester 31 大きいデータサイズを使用した試験時のRTT （秒間コネクション数が少ない）

    小さいデータサイズを使用した試験時のRTT （秒間コネクション数が多い）

32. セキュリティ試験 ➢ セキュリティインシデントの原因 Tester 32 表面的原因（代表例） 対策例 試験手法 マルウェア/ランサムウェア EDR/AVの導入

    Webフィルタリング マルウェアの検知/遮断テスト マルウェアシミュレーション フィッシング・ソーシャルエンジニアリング 社員教育/訓練 メールフィルタリング MFAの導入 フィッシング演習 メールゲートウェイ動作試験 弱い/流出した認証情報 MFAの導入（必須） パスワードポリシー強化 パスワード管理ツールの導入 認証リスク診断 MFA動作試験 パッチ未適用・脆弱性 OS/アプリの定期アップデート 脆弱性管理 脆弱性アセスメント ペネトレーションテスト セキュリティ機器の設定不備 設定ガイドライン遵守 定期監査/CSPMの導入 設定監査ツールによるチェック BAS/AEVによる設定有効性検証 AIの誤用/シャードーAIの利用 社員教育 利用ガイドライン データ流出防止（DLP） AIトラフィックの検知試験 DLPルール検証 セキュリティ欠如のコード開発 セキュアコーディング教育 コードレビュー DevSecOpsの導入 SAST/DASTによる脆弱性検証 ファジングテスト/SBOM管理

33. セキュリティ試験 ➢ 試験手法 Tester 33 試験種別 試験内容 コントリビューション機器 コントリビューター （SBOM管理）

    ソフトウェアがどのようなライブラリやコンポーネント、 依存関係で構成されているかリスト化 IoT Security Assessment キーサイト・テクノロジー様 Fuzzing Test 意図的な異常入力によって予期しない挙動やクラッシュなど が発生しないかを検証 Defensics 東陽テクニカ様 Basic Test エクスプロイト/マルウェアの検知/遮断試験 CyberFlood CyPerf 東陽テクニカ様 キーサイト・テクノロジー様 Advanced Test 最新のエクスプロイト/マルウェアを用いた検知/遮断試験 通常トラフィックとの混在環境における エクスプロイト/マルウェア検知/遮断試験 できる限り多くのエクスプロイト/ マルウェアを用いた検知/遮断試験 Vulnerability Assessment 攻撃の侵入口となるセキュリティ不備/脆弱性有無の検出試験 Tenable.one アイビーシー様 Firewall Policy Check ファイアウォールの設定内容に基づいた攻撃によって設定の 有効性を検証 Needlework エーピーコミュニケーションズ様 Breach & Attack Simulation （BAS） 様々な攻撃トラフィックや攻撃手法のシミュレーションによ るセキュリティ対策の有効性確認試験 Threat Simulator キーサイト・テクノロジー様 Penetration Test 侵入後のセキュリティ対策の十分性や被害レベルの確認試験 -- Adversarial Exposure Validation（AEV） セキュリティシステムが実際の攻撃を検知/防御できるかを継 続的に可視化/改善 -- ラボ/展開前 単純な攻撃 運用中 複雑な攻撃 運用（可視化） 開発プロセス

34. セキュリティ試験 ➢ 防御性能 ✓ 各種セキュリティ機能に問題がないことを確認する。 • ① ポリシーチェック ⁃ ファイアウォールのコンフィグからテストシナリオを自動生成してポリシーチェックを実施する。

    • ② エクスプロイト/マルウェアの検知/遮断 ⁃ 昨年のインタロップ終了から試験当日までに発見された攻撃トラフィックを生成する。 ⁃ 正常トラフィックと共に流した方が運用試験として合理的であるため、サービスエッジ試験に統合 • ③ 攻撃キャンペーンや攻撃手法の検知/遮断 ⁃ 攻撃者が実際に使用する攻撃手法や攻撃に使用されるマルウェアの動作を再現する。 Tester 34 製品名 対応リンク速度 ① ② ③ プラットフォーム コントリビューター CF30 10G / 1G -- o -- ハードウェア 東陽テクニカ様 NEEDLWORK 10G / 1G o -- -- ソフトウェア エーピーコミュニケーションズ様 CyPerf 100G / 10G / 1G -- o -- ソフトウェア キーサイト・テクノロジー様 ThreatSimulator 10G / 1G -- -- o ソフトウェア キーサイト・テクノロジー様

35. 防御性能 ➢ポリシーチェック ✓ファイアウォールの設定からテストシナリオを自動作成 • セキュリティギャップを防止 • テスト管理者の負荷を軽減 Tester 35 ①

    コンフィグのダウンロード ② テストシナリオの自動作成 ③ テストシナリオの 確認/修正 試験結果 ④ 試験実行 ShowNet Firewall

36. 防御性能 ➢攻撃キャンペーンや攻撃手法の検知/遮断 ✓ポリシーチェック • 対象：ファイアウォール ✓攻撃キャンペーンやキルチェーンの再現 • 対象：NDR ✓マルウェアエミュレーション •

    対象：EDR Tester 36 Attack Simulator in Cloud Service Exploit Instration Command&Control URL Filtering

37. セキュリティ試験 ➢ 堅牢性/リスク評価 ✓ 提供するサービスに対して脆弱性がないかを確認する。 • ① 脆弱性アセスメント ⁃ MGMTとPUBLIC

    IPに対して既知の脆弱性が存在しないことを確認する。 • ② ファジングテスト ⁃ ファジングテストを実施して未知の不具合が存在しないこと、サービスに影響がないことを確認する。 • ③ SBOM作成（トライアル） ⁃ 提供頂いたフォームウェアを解析してSBOMならびに評価レポートを生成する。 Tester 37 製品名 対応リンク速度 ① ② ③ プラットフォーム コントリビューター tenable.io mgmt o ハードウェア アイビーシー様 Defensics wifi o ソフトウェア 東陽テクニカ様 IoT Security Assessment -- o ソフトウェア キーサイト・テクノロジー様

38. 堅牢性/リスク評価 ➢ 脆弱性アセスメント ✓管理ネットワークに接続するIPアドレスに対して評価を実施 Tester 38 ShowNet Management ① ssh

    connect ② banner response ③ get ssh version ④ check vulnerability Tenable.one 脆弱性アセスメントのイメージ

39. 堅牢性/リスク評価 ➢ SBOM作成 ✓ファームウェア解析希望者のみに実施 Tester 39 Network Devices ① upload

    firmware ③ analyze firmware ④ check vulnerability ③ get package and contents information IoT Security Assessment

40. 堅牢性/リスク評価 ➢ファジングテスト ✓攻撃者の侵入口となり得るWiFi APに対してWPA3認証の堅牢性試験を実施 • コントリビューター様から実施許可を得たアクセスポイントを使用 Tester 40 ① fuzzing

    data ② receive response ⑤ analyze response ⑥ judge result Fuzzing Tester ③ ping request ④ ping reply Network Devices ファジングテストのイメージ

41. 堅牢性/リスク評価 ➢試験構成 ✓ファジングデータと同時に正常通信を発生させスループットの変化も観察 Tester 41 WiFi AP eth0 radio PoE

    Switch radio radio IxChariot Sender USB Wi-Fi dongle Defensics Fuzzer IxChariot Controller 電源タップ WiFi switch tag 暗箱内部 fuzzing data eth0 eth1 IxChariot Receiver Switch Defensics Controller tcp data 赤枠は正常通信生成端末にRDPしたことが影響 （ファジングテストによる影響ではありません） ファジングテスト中も安定したスループットを確認 実施したファジングパターンにおいて、 クラッシュや再起動が発生するような脆弱性はないことを確認

42. 試験自動化 ➢ ShowNet 2023 ✓Open Traffic Generator（OTG）APIを活用した自動化 • 特定のハードウェアやソフトウェアに依存しない共通インターフェイス •

    標準的なAPI設計でCI/CDとの統合が低コストで可能 Tester 42

43. 試験自動化 ➢ ShowNet 2024 ✓共通設定ファイルを用いたベンダー独自APIによる自動化 Tester 43

44. 試験自動化 ➢ShowNet 2025 ✓Open Traffic Generator（OTG）APIを活用した自動化 • コントリビューター様の2社でOTGに対応！ ✓チャレンジから得られた知見 •

    ベンダーごとに独自のコントローラーが必要 • デバイスモードとポートモードの違い Tester 44 Vendor B Vendor A Vendor A Vendor A Vendor A #! bin/python3 """ This is my script to test snappi with ixia-c, trex, and IxNetworks in ShowNet 2023!! """ import datetime import ipaddress import snappi import random import time def main(): p1 = Port("port1", **{ "location": "172.16.18.12;1;7", "mac": "00:00:01:00:00:01", "addr4": "192.168.7.2/24", "gw4": "192.168.7.1", "gw4_mac": "00:00:00:00:00:00", }) p2 = Port("port2", **{ "location": "172.16.18.12;1;8", "mac": "00:00:02:00:00:01", "addr4": "192.168.8.2/24", "gw4": "192.168.8.1", "gw4_mac": "00:00:00:00:00:00", }) ... api = snappi.api(location = "https://10.39.19.198:8443", verify = False) config = snappishow_test_unidi(api, p1, p2) if wait_for(lambda: verify_port_statistics(api, config), timeout = 60): print("SUCCESS") else: print("FAILED") def verify_port_statistics(api, config): # Create a port statistics request and filter based on port names statistics = api.metrics_request() statistics.port.port_names = [p.name for p in config.ports] # Create a filter to include only sent and received packet statistics statistics.port.column_names = [statistics.port.FRAMES_TX, statistics.port.FRAMES_RX] # Collect port statistics results = api.get_metrics(statistics) ...

45. まとめ ➢ネットワーク試験 ✓バックボーン試験、データセンター試験、サービスエッジ試験 • （バックボーン試験）プロトコルエミュレーションを活用したテスト手法 • （データセンター試験）800G 相互接続、UET 相互接続 •

    （データセンター試験）RoCEv2通信におけるネットワークの最適化 • （サービスエッジ試験）HTTP2やQUICの利用、混在トラフィックによる試験効率化 ➢セキュリティ試験 ✓防御性能、堅牢性/リスク評価 • （防御性能）ファイアウォールの設定に基づいた自動ポリシーチェック • （防御性能）高度な攻撃手法を再現した攻撃検知/遮断試験 • （堅牢性/リスク評価）脆弱性アセスメント、WiFi APに対するファジングテスト • （堅牢性/リスク評価）ファームウェアのSBOM作成 ➢試験の自動化 ✓ Open Traffic Generator（OTG）APIを活用した自動化 • 単一スクリプトによるマルチベンダー間テストトラフィック送受信チャレンジ Tester 45

46. ご協力頂きましたコントリビューター様 Special Thanks for UET Testing