セキュリティマネジメント Summit
Summer 2021 - Review -
ヴイエムウェア

ビルドイン型だから実現可能
効率的かつ高度な独自のセキュリティ対策

DXの推進に伴いアプリケーションのモダナイゼーションが進展。さらにテレワークの拡大によって、守るべき情報リソースはオンプレミスのデータセンターや、ハイブリッドクラウド環境、マルチクラウド環境へと分散化している。この状況をサイバー攻撃から守るには、従来型のセキュリティ対策には限界がある。それに対してヴイエムウェアは、すべての環境に一元的に適用が可能な上、プラットフォームにあらかじめ高度なセキュリティ対策を組み込むことで強固な防御を実現するビルドイン型の「VMware Security」を提案している。

攻撃の各プロセスに対応するための様々な対策

ヴイエムウェア株式会社 デジタル テクノロジー ユニット シニア セキュリティ アーキテクト 橋本 賢一郎氏
ヴイエムウェア株式会社
デジタル テクノロジー ユニット
シニア セキュリティ アーキテクト
橋本 賢一郎
 近年、サイバー攻撃が企業の事業継続性に甚大な影響を及ぼすようなケースが多発している。米国の石油パイプライン大手のランサムウエア攻撃による被害をはじめ、国内でもコロナ禍を背景にしたテレワークの拡大を狙って、VPNの脆弱性を悪用した攻撃が増加。企業を事業停止に追い込むインシデントも発生している。

 「多くの攻撃が、まず脆弱性を悪用して侵入し、ラテラルムーブメント、すなわち横方向へと展開。その上でデータの不正取得や破壊を完了しています。攻撃は年々スピードアップしており、従来、数カ月から1年を要していた一連のプロセスが、最近では3日程度で完了してしまっているケースも見られます」とヴイエムウェアの橋本 賢一郎氏は指摘する。

 このようなサイバー攻撃の一連のプロセスに対応するため、企業は多層防御という形で複数の対策を講じている。脆弱性を悪用する初期の侵入に対してはファイアウオールで制限を設けつつ、既知の攻撃にはIDS/IPSで対応、未知の攻撃にはサンドボックスがそれぞれ検知手段となる。

 最近は、ネットワーク環境のトータルな可視化によって、脅威が侵入した後、内部での不審な水平展開活動やラテラルムーブメントを検知し、迅速なインシデントレスポンスによる被害の発生、最小化を支援するNDR(Network Detection and Response)といった対策にも注目が集まっている。例えば、データを不正に取得し外部に送信するような行動については、通信先が未知のホストなら過去の振る舞いと比較してトラフィックの急増を検知できるし、既知のコールバックならIDS/IPSや脅威情報との照合によって検知し、ファイアウオールによって防御できる。さらにデータの破壊については、エンドポイントが最後の砦となるが、EDR(Endpoint Detection and Response)やEPP(Endpoint Protection Platform)による保護という選択肢がある。

VMware vSphereに
セキュリティ対策の実行環境を組み込む

 ヴイエムウェアは、このような対策をセキュリティソリューション「VMware Security」としてトータルに提供している。「ヴイエムウェアというと『仮想化技術を提供するベンダー』というイメージかと思いますが、セキュリティ領域においても大きな強みを持っています」と橋本氏は強調する。

 具体的に同社は、ビジネスのコンセプトである「Any Device, Any App, Any Cloud」をセキュリティソリューションにおいても踏襲。すべてのデバイス、すべてのアプリケーション、そしてすべてのクラウド(プラットフォーム)に対して実行可能なセキュリティ機能を提供している。

 ただし、提供形態は他のセキュリティベンダーとは大きく異なる。多くのセキュリティベンダーの提供形態が、ワークロードごとに必要な対策として適宜アプライアンスを追加していくボルトオン型だとすると、同社の提供形態はプラットフォーム自体に必要なセキュリティ機能をあらかじめ実装するビルトイン型だ。  「仮想化基盤であるVMware vSphereのカーネル上で稼働するワークロードのvNICと仮想スイッチの間にマイクロセグメンテーション、ネットワークファイアウオール、サンドボックス、NDR、IDS/IPS、NGAV(Next Generation Anti-Virus)/EDRといったセキュリティ対策を実装。ここからあらゆるマシンに対して、必要なセキュリティを提供します。ワークロード単位のファイアウオールポリシー設定、粒度の細かいマイクロセグメンテーション、すべてのワークロードのトラフィックの可視化と分析を可能とし、高度なセキュリティを実現します」と橋本氏は言う。

 企業のIT環境はアプリケーションのモダナイズが進み、多くの企業がシステムの仮想化、コンテナ化を採用し、リソースを細かく分散させている。またコロナ禍の影響を受け、テレワークやクラウド活用の拡大によって従業員の働く場所もデータの保管場所も分散傾向にある。そういった環境においても、VMware SecurityならVMware環境の統合管理を行うような要領で、異なる環境のセキュリティも一元的に管理できる。

 「近年、攻撃者は対象とする企業のセキュリティ対策を事前にチェックして、特定のプロセスを停止させたりしながら侵入を試みたりしてきますが、VMware vSphereに実行環境をビルドインする当社の仕組みでは、そうした方法は通用しません」と橋本氏は説明する。

AI・機械学習の活用で真に悪性のものを抽出

 提供形態による優位性だけではない。VMware Securityは、各セキュリティ対策自体も強力さを誇る。

 例えば、VMware SecurityのNDRは、IDS/IPS、NTA(Network Traffic Analytics)、サンドボックス、スレットインテリジェンスといった各コンポーネントの情報をAI・機械学習によって分析して脅威の検知精度を高める。  ほかのコンポーネントについても、IDS/IPSは通常トラフィックに対して1万件以上ものシグネチャによるチェックを常に行うことになるがVMware Securityでは、分散アーキテクチャにより、各ワークロードに対して必要なシグネチャだけを適用する。SQLの実行環境にはSQL関連のシグネチャだけを、DrupalにはDrupalに関連するシグネチャだけを適用するといった具合だ。これにより、シグネチャチェックのプロセスを80%以上削減できる。

 またサンドボックスについても、フル・システム・エミュレーションという独自の仕組みを、ハイパーバイザベースのサンドボックスとハイブリッドで提供。検体から発生するCPUやメモリ、I/Oなどに対するすべての命令をチェックできるようになっている。

 さらにNTAは、一般的なNTAと同じようにネットワークトラフィックを収集して、教師なし機械学習でベースラインを作り、逸脱するものをアノマリとして検出するが、教師ありの機械学習の併用、スレートインテリジェントの参照によって「アノマリのすべてが必ずしも脅威であるとは限らない」という点を考慮した検出を行う。例えば、月次処理や年次処理などのイレギュラーなトラフィックは脅威とは扱わず、真に悪性のものだけを的確に抽出するのである。

 「トラディショナルなAIベースのNDRでは、214ペタバイト/月のデータが入ってきた場合、発せられるアラートは一般的にはだいたい1000件くらいですが、当社のNDRではこれを10%以下にまで低減することができます」と橋本氏は強調する。こうしたことが運用管理者の負荷軽減につながることはいうまでもない。ヴイエムウェアは、仮想化技術を提供する企業ならではのセキュリティで、現在の企業が求められるセキュリティニーズに的確に応えていく構えだ。
資料ダウンロードはこちら
資料ダウンロードは
こちら
セキュリティマネジメント Summit
Summer 2021 - Review -
TOPへTOPへ
資料ダウンロードはこちら
資料ダウンロードはこちら
お問い合わせ
ヴイエムウェア株式会社 E-mail:info-jpvmcb@vmware.com