ITpro Special
週間WEEKLY ITpro Special ITpro

「標的型攻撃への対策」  REVIEW

ヴイエムウェア

デスクトップ仮想化で流出を防ぎ
ネットワーク仮想化でまん延を阻止

標的型攻撃による情報流出を防ぐには、マルウエアの侵入を100%防ぐことはできないという認識に立ち、その感染が社内ネットワークにまん延しないようにする仕組みを用意しておくことが重要だ。そのためのVMwareの解が、ネットワーク仮想化の技術を使ったマイクロセグメンテーション。重要データの流出防止にはデスクトップ仮想化も併用する。

ヴイエムウェア株式会社
ソリューション営業本部
本部長
秋山 将人

 「ハイパーバイザー(サーバー仮想化)で知られるVMwareは、昨年からネットワーク仮想化によるセキュリティ強化にも取り組んでいます」とヴイエムウェアの秋山将人氏は説明する。ネットワーク仮想化によるマイクロセグメンテーションと仮想デスクトップの組み合わせは標的型攻撃への対策としても極めて有効だとアピールした。

 情報処理推進機構(IPA)の文書などで解説されているように、標的型攻撃では、マルウエアに感染したPCから社内のほかのPC/サーバーに感染が広がる「システム内拡散」が発生する。これを防ぐには、セキュリティセグメントを細分化するマイクロセグメンテーションが効果的だ。

ネットワーク仮想化で簡単にマイクロセグメンテーションを実現

 マイクロセグメンテーションによる防御の仕組みは、PC環境をサーバー上の仮想マシンで動作させるデスクトップ仮想化(VMware Horizon)と、ネットワーク機能を物理ネットワークに依存せずハイパーバイザー上に分散展開するネットワーク仮想化(VMware NSX)の二つで構成されている。

 デスクトップ仮想化を展開しているハイパーバイザー内でネットワークファイアウォールサービスを分散展開することで、セキュリティセグメントをネットワークセグメントより小さく設定できるようになる。仮想マシンごとに別々のセキュリティセグメントとしてアクセス制御をすることで、マルウエア感染の被害をその1台だけに閉じ込めたり、社内で特定データやアプリケーションへのアクセスなどユーザーの挙動を把握することができる。「この仕組みはVMwareのハイパーバイザー層でサービスとして動作し、かつ一元管理できるため、仮想PCの台数にかかわらず、運用管理の工数をほとんど上げることなく実現ができます」と秋山氏は付け加える。

 また、デスクトップを仮想化すると最新のパッチを確実に適用できたり、データがデバイスに残らないためデバイス紛失による情報漏洩も防止できるなど、セキュリティ強化にもつながる。

 さらに、この仕組みをほかのソリューションと組み合わせれば、より多彩で高度なセキュリティ対策も社内ネットワークに実装できる。例えば、ファイアウォールのルール割り当てをActive Directoryのセキュリティグループと連動させれば所属部署や職階に基づくアクセス制御ができるし、連動可能なウイルス対策ツールとの組み合わせでは、検出された感染PCを“感染グループ”に自動付け替えすることで、検疫ネットワークも実現できる。

 なお、VMware NSXによるネットワーク仮想化を導入すれば、従来は別の物理マシンで運用していたDMZサーバーを共通の仮想マシン基盤に統合することもできるので、サーバー統合による費用削減効果はさらに高くなることだろう。

 既存のネットワーク機器を入れ替えるわけではなく、ソフトウエアを追加するだけでネットワーク仮想化を実現する方式であることから、VMware NSXは既存システムにも短期間で導入できる。標的型攻撃への対処を急ぐ企業にも良い選択となるはずだ。

ネットワーク仮想化によるマイクロセグメンテーション
セキュリティセグメントを1台単位にすれば感染PCからのシステム内拡散はなくなる
お問い合わせ