ITpro Special
週間WEEKLY ITpro Special ITpro

セキュリティを効果的に高める仮想化技術

ヴイエムウェア
インターネット分離のニーズに
独自の仮想化技術で応える

従来のセキュリティ対策では防ぐことが難しいとされる標的型攻撃の脅威の拡大を背景に、公共機関を中心にニーズが高まっているのが「インターネット分離」というアプローチだ。ヴイエムウェアでは、デスクトップ仮想化およびネットワーク仮想化の技術に基づくソリューションの提供により、その実践に向けた顧客の取り組みを強力に支援している。

ヴイエムウェア株式会社
公共SE部
シニアシステムズエンジニア
小原 光弥 氏

 リスクが高まる標的型攻撃への対応策として「インターネット分離」というアプローチが、公共機関を中心に様々な組織で採用されてきている。

 「一般的な分離方式としては、組織内システムおよび端末と、インターネット接続用のシステムや端末を物理的・ネットワーク的に分けてしまうという構成が考えられます。しかしながら、特に地方自治体の場合には数十、場合によっては100以上の拠点が存在します。それらの拠点全体にこうした構成を適用することは、コスト的にも、またマイナンバーの本格運用を見据えたスケジュールの観点からも現実的とはいえません」とヴイエムウェアの小原光弥氏は指摘する。

 そうした物理的な分離に代わる方法として、大きな注目を集めているのがデスクトップ仮想化技術の活用だ。

仮想化技術を採用することで安全なシステムを迅速に構築

 要するに、組織内システムにアクセスする端末をインターネット接続用端末と共用とし、インターネットアクセス時には専用の仮想デスクトップ環境を画面転送型(VDI方式/SBC方式)で利用するのである。「この方法なら、拠点ごとにインターネットアクセス専用のネットワークを構築・運用する手間も不要で、速やかにインターネット分離を図れます」と小原氏は説明する。ヴイエムウェアでは、こうした仕組みを実現するソリューションとして「VMware Horizon」や「VMware Horizon Air」を提供している。

 さらに、標的型攻撃対策という観点で、もう一歩踏み込んだ対策を考える場合に検討に上がってくるのが、ネットワーク仮想化というアプローチだ。

 ヴイエムウェアでは、そのための仕組みを「VMware NSX」で提供している。「仮想化インフラであるハイパーバイザーに、スイッチやルーター、ファイアウォール、ロードバランサー、VPNなどの機能をソフトウエア的に実装しています。ハイパーバイザー上に仮想化された各システムやデスクトップといった仮想マシン(VM)単位で、それらの機能を適用し、詳細なアクセス制御を実現できます」と小原氏は紹介する。これにより、仮にあるシステムに標的型攻撃のマルウエアが侵入してしまった際にも、通信経路の遮断が容易に行え、他のシステムへと脅威がまん延することを確実に防げる。

 インターネット分離を目指す際には、例えばVDI環境の構築をとっても「VMware Horizon」を活用してオンプレミスで構築・運用するのか、「VMware Horizon Air」のようなDaaS(Desktop as a Service)を活用するのかなど、組織のセキュリティポリシーに適したシステムを検討することが重要だ。「仮想化を中核にお客様のあらゆる技術的アプローチを支援できる体制を整備しているヴイエムウェアに、ぜひご相談いただければと思います」と小原氏は語る。

[画像のクリックで拡大表示]
お問い合わせ