日経 xTECH Special 日経 xTECH 日経 xTECH Special

新機軸のセキュリティ対策を仮想化で実現

働き方改革などへの対応には、ユーザーが利用するデスクトップやアプリケーション、デバイスに対して適切な制御が不可欠となる。ネットワールドの竹内純氏が、ITインフラ、特にネットワークの観点からセキュリティの在り方や検討ポイント、さらにSDN導入によるインシデント対応の自動化など、セキュリティ強化と運用効率化を両立したITソリューション活用を紹介した。

 サイバー攻撃の手口が日々巧妙化・複雑化している現在では、インターネットと社内ネットワークの境界線におけるセキュリティ対策だけで攻撃の侵入を100%防ぐことは不可能だ。竹内氏は「これからは、境界線を突破されることを前提としたセキュリティ対策が不可欠です。境界線をすり抜けた脅威を軽減する内部対策が重要な役割を占めることになります」と力説する。

「マイセグ」化で脅威の拡散を防ぐ

ネットワールド
マーケティング本部 ソリューションマーケティング部
セキュリティソリューション課 主任
竹内純 氏

 こうした課題の解決策として、同氏は仮想化技術の活用を推奨する。具体的には、VDI(仮想デスクトップ環境)とSDN(ソフトウエア・デファインド・ネットワーキング)という2つの仮想化技術だ。竹内氏は「VDIとSDNを駆使することで『マイクロセグメンテーション(マイセグ)』と呼ばれる新しい脅威拡散防止モデルを構築できます」と指摘する。

 VDIは、クライアントPCでの処理をサーバー上の仮想マシンで実行・管理する技術。クライアントPCは、キーボードやマウスなどからの入力と、処理結果の画面表示だけを担う仕組みだ。クライアントPCにデータが残らないので情報漏洩を防止でき、デスクトップ環境をサーバー上で一元管理できる。代表的な製品として、ヴイエムウェアの「VMware Horizon」が挙げられる。

 一方のSDNは、ソフトウエアによって物理的なネットワーク資源を仮想化する技術。物理的な機器に手を加えることなく、ネットワークの構成やポリシーなどを動的に変更できるようになる。代表的な製品として、ヴイエムウェアの「VMware NSX」が挙げられる。

 これら2つの仮想化技術を組み合わせたマイクロセグメンテーションとは、仮想マシン単位で論理的なファイアウォールポリシーを設定し、セキュリティのセグメントを定義するモデルだ。万が一、どこかの仮想マシンが攻撃者に侵入されたとしても、ほかの仮想マシンに脅威が拡散することを防げるような仕組みになっている。サーバー上で稼働する仮想マシンや仮想デスクトップにそれぞれ個別にファイアウォールを設置するようなイメージだ。

 同社では、VMware Horizonと同NSXを活用したソリューションを顧客に提供中だ。既に4000ユーザーで導入決定済みの自治体もあるという。

[画像のクリックで拡大表示]

運用の負荷を軽減するメリットも

 同社のソリューションには、セキュリティの堅牢性を高めるだけでなく、運用管理の負担を軽減できるというメリットもあるという。

 その1つ目が、ユーザーをグループ化した上でポリシーの適用を自動化できることだ。ユーザーをグループ化する際には個々のアカウントを選ぶのではなく、アカウント名や仮想マシン名に含まれる共通の文字列や、アクティブディレクトリのグループ、IPアドレスの範囲といった単位でグループ化することが可能。このグループごとにポリシーを設定できる。例えば、グループAからグループBへの通信ではhttpsのプロトコルは許可するが、そのほかは全てブロックするといった具合だ。

 2つ目が、「Trend Micro Deep Security」のようなセキュリティツールを組み合わせて、マルウエアが感染したクライアントPCを自動的に隔離可能なこと。この環境では、仮想マシン上でファイル操作を行った場合にマルウエアチェックを実行。感染している場合にはネットワークから自動的にクライアントPCを隔離するとともに、マルウエアを駆除する。

 統合監視・管理ツールである「VMware vRealizeシリーズ」を活用すれば、VDIの稼働状況や空きリソース状況、ネットワークの遅延、消費帯域、トラフィックブロック数などを可視化できる。

 こうした運用管理面のメリットを評価して、同社のソリューションを選定する企業も少なくないという。この好例が、ハーブとアロマの専門店を運営する「生活の木」(東京都渋谷区)だ。①万が一のマルウエア感染被害を最小化したい、②2年ごとに更新するPCの管理工数を削減したい、③店舗における緊急のPC障害に対して迅速に対応したい――という課題を抱えていた同社が、ネットワールドのソリューションを導入。これにより、①仮想マシン単位のセキュリティ設定を実現、②一括したポリシー配布による効率化、③セキュアなデスクトップを迅速に配布――などの成果が生まれているという。

[画像のクリックで拡大表示]

NGAVで非マルウエア攻撃にも対応

 さらに、竹内氏は「従来型のマルウエアによる攻撃に加え、『非マルウエア攻撃』による被害が相次いでいます」と警鐘を鳴らす。こうした未知の脅威に対抗するには、マルウエア攻撃と非マルウエア攻撃の両方からエンドポイントを防御する環境が必要になる。

 こうした要請に対応するために、ネットワールドでは「EDR(エンドポイントの検知と対応)」と呼ばれる領域の先進企業である米Carbon Blackとディストリビューター契約を締結。2017年11月からNGAV(次世代アンチウイルス)製品「Cb Defense」など同社の製品の提供を開始している。

 竹内氏は「未知の脅威への防御力に加えて、攻撃の侵入経路や進行段階を分析して対処を迅速化し、被害をいかに軽減するかが重要なポイントになります」と強調する。

お問い合わせ