ITpro Special
週間WEEKLY ITpro Special ITpro

セミナーレビュー:ヴイエムウェア

ヴイエムウェア

デスクトップとネットワークの仮想化で
有効な内部対策を実現

標的型攻撃による被害が深刻化している。攻撃側の手口が日々進化し、マルウエアの侵入を阻止する対策が後手に回っているからだ。そこで、ネットワーク内でのマルウエアの感染や攻撃を阻止する内部対策に力を入れる動きが広がっている。ネットワーク仮想化によってセキュリティセグメントの単位を最小化する「マイクロセグメンテーション」は、その内部対策を確実に実施するものとして期待を集めている。

ヴイエムウェア株式会社
ソリューション営業本部
本部長
秋山 将人

 特定の企業や組織などに対する標的型攻撃による被害が深刻化している。様々な理由が挙げられているが、日本企業のネットワーク設計に起因するところも大きい。「日本ではハブを利用してネットワークを構築することが圧倒的に多いのが現状です。このような設計では、一つの端末がマルウエアに感染してしまうと、ほかの端末に感染が容易に拡大してしまいます」。ヴイエムウェアの秋山将人氏はこう指摘する。

 標的型攻撃を防ぐ第一歩は、マルウエアの侵入を阻止することだ。しかし、攻撃の手口が巧妙化しており、有効な対策は難しい。そのため、内部対策の必要性が高まっている。IPA(情報処理推進機構)もシステム設計ガイドの指針として内部対策の重要性を指摘している。

攻撃側の手口は日々変化
内部対策の重要性が高まる

 内部対策とは、ネットワーク内でのマルウエアによる攻撃を防ぐものだ。「マルウエアが侵入するための手口は日々変化していますが、ネットワーク内での攻撃手法はそれほど変化していないため、内部対策の有効性は継続しやすいという特徴があります。被害を最小限に抑えるためには内部対策は欠かせなくなっています」(秋山氏)。

 この内部対策を実現する切り札の一つとして「デスクトップ仮想化」と「マイクロセグメンテーション」によるセキュアデスクトップ環境が注目を集めている。

 デスクトップ仮想化は、デバイスとデータの分離を図れるのでデータが漏洩しない環境を構築できるだけでなく、ログオフしたらリフレッシュするのでバックドアを防ぎ、最新パッチを確実に適用できるなど、デスクトップ環境の安全性確保に効果を発揮することで知られている。

 他方マイクロセグメンテーションは、ネットワーク仮想化によってセキュリティセグメントをデスクトップ単位まで最小化したものだ。

標的型攻撃の攻撃手法
ネットワーク内で感染が拡大する
[画像のクリックで拡大表示]

仮想デスクトップ1台ごとに
端末間通信をブロック

 マイクロセグメンテーションを導入することで、万が一、マルウエアに感染しても、仮想デスクトップ1台ごとに設定したネットワークファイアウォールによって端末間通信を拒否できるので感染の拡大を防ぐ。さらに、そのブロックによってログを生成して管理者に通知するので、感染拡大防止と不正トラフィック検知を実現する。

 マイクロセグメンテーションの特徴はそれだけにとどまらない。ユーザー単位でアクセス先を簡単に制御できるので、許可していないIPアドレスへのアクセス検知もできるほか、ユーザー単位でアプリケーションのアクセスコントロールも図れる。また、マルウエア対策ソフトと連動させることで、検疫ネットワークと同じ働きを実現できるので、マルウエアに感染した仮想デスクトップをネットワークから切り離し、治療した上でネットワークに再接続することも可能だ。

 「マイクロセグメンテーションなら、ゼロデイのマルウエアであっても感染エリアの拡大を防止するだけでなく、拡大の動作をブロックすることで不正な動きを検知し、拡散防止型セキュリティモデルが簡単に実現します。また、端末単位のアクセスを可視化できるので内部での情報漏洩リスクにも対処できます」と秋山氏はメリットを説明する。

 マイクロセグメンテーションはデスクトップ仮想化環境だけでなく、サーバー仮想化環境でも威力を発揮する。標的型攻撃による被害が増加していることに対応し、データセンターでもセキュリティ確保に力を入れているが、その一方で次のような課題も浮上している。

 セキュリティレベルごとに別立てでサーバー仮想化基盤を構築したため、サーバーの利用効率と運用効率の低下を招いているほか、ファイアウォールのルールやVLAN、ACL(アクセスコントロールリスト)の追加といったセキュリティ関連作業が増大し、運用負荷の増大を招いている。また、DMZ(非武装地帯)への攻撃も増加しており、DMZ経由のリスクが高まっている。マイクロセグメンテーションは、そうした数々の課題の解消にも役立つ。

マイクロセグメンテーションの効果
感染拡大防止と不正トラフィック検知に役立つ
[画像のクリックで拡大表示]

ネットワークの仮想化により
詳細なポリシーを関連付け

 ヴイエムウェアのVMware NSXは、このマイクロセグメンテーションを簡単に実現するものだ。VMware NSXはネットワーク仮想化プラットフォームで、スイッチ、ルーター、ファイアウォール、ロードバランサーなどのネットワークコンポーネントを抽象化し、ネットワーク全体をソフトウエア上に構成する。ハードウエア削減によるコスト削減、調達スピードの向上、設計・構築段階での工数削減といったメリットだけでなく、自動化された詳細なポリシーを仮想マシンに関連付けることでマイクロセグメンテーションを実現し、ネットワーク内のセキュリティを確保する。

 VMware NSXのメリットはそれだけではない。マカフィーやシマンテック、トレンドマイクロ、パロアルトネットワークスなどの有力セキュリティベンダーのサービスを導入するプラットフォームとしても使え、こうしたセキュリティサービスの展開を自動化できるだけでなく、ネットワーク内の状況の変化に動的に対応することもできる。

 「既にVMware NSXは世界の有力企業700社超で使われています。最小単位である仮想マシンごとにホワイトリスト型アクセス制御を実現し、セキュリティ適用の自動化によって運用負荷削減とヒューマンエラーによるリスクを排除します。また、有力セキュリティサービスとの連動によってベストなセキュリティ環境を実現できます」(秋山氏)。ヴイエムウェアでは、情報漏洩を防ぐためにVMware NSXの活用を今後も強く推進していく構えだ。

お問い合わせ