こんにちは。 SB C&S の 市島です。
私は VMware 製品のプリセールス エンジニアチームに所属しており、主に VMware EUC製品 を担当しております。

日本時間の2020年9月30日〜10月1日にVMware社の年に一度の大イベントであるVMworldが開催されました。
今年はオンラインでのデジタルイベントとしての開催でしたが、例年どおり様々な製品・ジャンルにおいて新製品やアップデート、開発プロジェクトが発表され、世界中のVMware製品に関わる方がPCやスマートフォンの前でVMworldの様々なセッションを見ながら熱くなったのではないでしょうか？

VMworld 2020開催中の速報レポートは、弊社熊谷より別ブログ記事でお伝えしておりますので、まだご覧になっていない方は是非以下URLからご覧下さい。

・VMworld 2020 速報レポート
https://licensecounter.jp/engineer-voice/blog/articles/20200930_vmworld_2020.html

私からは、VMworldで発表されたDigital Workspaceのジャンルに関する発表をクローズアップしてお届けします。
製品名で具体的に挙げると、VMware HorizonやVMware Workspace ONEなどVMware EUC(End User Computing)製品に関する発表についてです。

※可能な限り正確な情報を掲載するよう努めていますが、必ずしも正確性を保証するものではありません。また、今後のリリースを予定していると発表されている製品・機能の紹介も含んでおり、今後内容が変更される可能性もありますのであらかじめご了承ください。

Security ＋ EUC (End User Computing)

今年のVMworldではSecurityに関する発表やセッションが多かった印象です。EUC製品に関してもSecurity ＋ EUCに関する発表が目玉だったと思います。

COVID-19(新型コロナウイルス)の影響により、突如テレワークを企業として本格導入することになり、急激に変化したEUC環境のセキュリティが課題になっているのは、日本に限らず全世界の企業の課題でしょう。

そういった背景もありVMwareとしてもEUC環境の課題を解決すべく、昨年買収して大きな話題となったEDR製品であるCarbon Black、NSXやSD-WAN by VeloCloudといったネットワークセキュリティ製品と、VMware EUC製品のインテグレーション・連携機能強化の発表が多くありました。

今回のブログでは、Security + EUCのメインの発表であった以下3つを軸にポイントをお伝えします。

• VMware SASE with Workspace ONE
• Workspace Security Remote
• Workspace Security VDI

　

VMware SASE Platform (with Workspace ONE)

「Security + EUC」で最も注目すべきポイントは" VMware SASE Platform"です。

SASEとはSecure Access Service Edges の略称で、Gartner社のレポートによって新たに定義づけられたネットワークセキュリティモデルです。従来の自社データセンター中心のアーキテクチャではなく、統合されたクラウドベースのネットワークセキュリティ サービスを中心としたアーキテクチャです。

今回VMwareは、このSASEのアーキテクチャを実現する「VMware SASE Platform」を発表しました。
このVMware SASE Platformは単一の製品ではなく、下記複数のVMware製品のインテグレーションで実現されます。

• VMware Workspace ONE
• VMware SD-WAN by VeloCloud
• VMware NSX (Firewall)
• Secure Web Gateway
  ※Secure Web Gatewayの機能はMenlo Securityとの組み合わせで提供される見込みです。

VMware EUC製品であるWorkspace ONEはVMware SASE Platformの重要なコンポーネントの1つとされておりますので、ここからはWorkspace ONE視点でより具体的にご紹介してきます。

Workspace ONEは以前より、Unified Access Gateway(UAG)を使用したVMware Tunnel(Per-App VPN)という機能を提供しております。VMware Tunnelは、Workspace ONEで管理されたPCやスマートフォンから「管理者によって許可されたアプリだけ」が社内のデータセンターにアクセスできる構成を実現可能です。
また、VMware Tunnelは対象アプリを立ち上げるだけで自動的にVMware TunnelのVPNが接続されるため、ユーザーはVPNクライアントソフトの使用を意識せず業務システムにアクセスすることができます。

このVMware TunnelのVPNゲートウェイとして機能するUAGは自社のデータセンター(仮想基盤)やAWS、Azure上に展開可能な仮想アプライアンスです。

　

この、UAGを使用したVMware Tunnelの機能と、SD-WAN by VeloCloudの組み合わせがVMware SASE Platform の一部である、VMware Secure Accessのサービスです。
Secure AccessのサービスではSD-WAN by VeloCloudのPOP（Point Of Presence）の近くに、UAGをVMware社のマネージド・サービスとして提供します。

ユーザーはテレワークで社外から業務システムにアクセスする際に、Workspace ONEで管理されたPCやスマートフォンからVMware Tunnelを使用してSD-WAN by VeloCloudの最寄りのPOPに準備されたUAGに接続します。
POPより先はSD-WAN by VeloCloudの技術によって最適化されたネットワークを経由してオンプレミスデータセンターやパブリッククラウドにアクセスすることができます。

更に、POPに接続することでVMware SASE Platformで提供される、VMware SD-WAN by VeloCloud、VMware NSX (Firewall機能)、Secure Web Gatewayのネットワークセキュリティ機能を利用することができます。
従来社内ネットワークの境界で利用されていたファイヤーウォールやWebフィルタリング、アンチマルウェア、IDS/IPS、Proxyなどといったネットワークセキュリティの機能を、ユーザーが自宅や外出先で業務を行っていても同じ様にクラウドから提供し保護することができます。

また、Secure Accessで重要な機能であるVMware Tunnel機能単体でも今回のVMworldで機能強化が発表されました。
VMware Tunnelは、Workspace ONE UEMとWorkspace ONE Intelligenceのポリシー状態の評価にリアルタイムで対応できるようになります。一見些細なアップデートですが、私は非常に重要なアップデートだと認識しています。

Workspace ONEでは従来から、順守ポリシーのデバイスコンプライアンス機能とコンディショナルアクセスの連携機能によって、ユーザーの使用しているデバイスが企業のコンプライアンスに準拠していない状態を検知した場合、SaaSアプリケーションの利用やWorkspace ONE UEMより提供しているアプリやVPN設定を制限する機能があります。

（参考）Workspace ONE ブログ 〜 コンディショナルアクセスとは 〜
https://licensecounter.jp/engineer-voice/blog/articles/20210309_workspace_one_conditionalaccess.html

実はこのコンディショナルアクセスではユーザーが認証済みだった場合、しばらくの間(設定によって数時間〜数十日)はWorkspace ONEのデバイスコンプライアンスチェックによるSaaSアプリのアクセスブロックができません。

新しく発表されたVMware Tunnelのリアルタイム ポリシー評価機能によって、Workspace ONE UEMとWorkspace ONE Intelligence（Workspace ONE AccessやCarbon Black、Trust Networkのセキュリティ製品の情報）のユーザー・デバイスのコンプライアンス評価を元に、社内システムアクセスやSaaSアプリなどへのインターネットアクセスをリアルタイムで制御できるようになると思います。

こういった、様々な情報を元にしたリアルタイムのアクセス制御は昨今注目されている「ゼロトラストアーキテクチャ」を実現する機能として非常に重要な機能です。

以上が、VMware SASE Platformに関連するEUC目線のご紹介です。私個人としても、今後のリリースやアップデート情報が非常に気になるソリューションですので、今後も引き続き最新情報をウォッチしていきたいと思います。

Workspace Security Remote

「Security + EUC」に関して次にご紹介するのは、"Workspace Security Remote"です。

以前から、"Workspace Security"と呼ばれる、Workspace ONEとCarbon Blackの組み合わせで提供される製品はありました。Workspace ONEのデバイス管理にCarbon BlackのNGAV・EDRなどのセキュリティ機能を組み合わせ、エンドポイントセキュリティを強化することができます。

　

今回発表された" Workspace Security Remote"は、テレワーク(リモートワーク)で必要とされる機能としてWorkspace Security(Workspace ONE + Carbon Black) にWorkspace ONE Assist をさらに追加したソリューションです。

Workspace ONE Assistは、一言でお伝えするとモバイルデバイスのリモートサポートツールです。デバイス管理者は、ユーザーの使用しているPC/スマートフォンの画面を遠隔から確認・操作してユーザーのサポートを行うことができます。

※上記画面例はAndroid スマートフォンですが、iOSデバイスやWindows 10やmacOSなどのPCデバイスのリモートサポートが可能です。また、Linux OSのリモートサポートも今後機能追加されるとの発表もありました。

・VMware Workspace ONE Assist for Windows 10 Devices (Windows 10の動作デモ動画)
https://www.youtube.com/watch?v=wDtErsbtCN8

　

以前までの会社に出社するのが当たり前の働き方であれば、ユーザーは社内の情シスの方に一声かけてデバイスの状態を一緒に見てもらえればデバイスの異常状態を目で見てサポートをしてもらうことが可能でした。（情シスの方にとってはこういったサポートが大変なのだとは思いますが...）
ですが、昨今の働き方では出社すること自体も難しい場合もあり、ユーザーのICT業務環境サポートも難しい状態になってきています。デバイスを配送してサポートするのもリードタイムが発生してしまいます。

Workspace ONE Assistを使用することで管理者の方は、Workspace ONEの管理コンソールからユーザーの使用しているデバイスの画面をリアルタイムで確認して対応することができますので、対面で会うことが難しい場合であってもエンドユーザーのサポートを行うことができます。

　

また、" Workspace Security Remote"は、Windows 10とmacOSの管理と保護強化する機能を提供する、と発表されています。
Workspace ONEのWindows 10とmacOSの管理機能に関するアップデートも複数発表されたのですが、デバイスのセキュリティに関連した重要なアップデートを1点お伝えさせて頂きます。

従来から、Workspace ONE IntelligenceではWindows 10の更新プログラム適用状態を収集し、どのような脆弱性が企業で利用しているデバイスにあるのか、Windows10のセキュリティリスクを分析・可視化する機能があります。

今回のVMworldではこのセキュリティリスク分析機能がマルチプラットフォーム対応する、という発表がありました。Windows 10だけではなく、macOSのセキュリティリスクも視覚的に確認できるようになります。(スマートフォンにも対応予定とのことです)

　

以上が"Workspace Security Remote"に関連したご紹介です。
"Workspace Security Remote"は現代のテレワーク(リモートワーク)を前提したICT業務環境に必要とされる、デバイス管理機能・セキュリティ強化・サポートツールを提供するソリューションとなっています。

Workspace Security VDI

「Security + EUC」で最後にご紹介したいのは、"Workspace Security VDI"です。
"Workspace Security VDI"は、VMware HorizonとCarbon Blackを組み合わせたソリューションです。

従来からVMware Horizonが提供してきた高機能なVDI (Virtual Desktop Infrastructure)環境にCarbon Blackの高度なセキュリティ機能を追加します。

　

現時点でHorizon + Carbon Blackの実現可能な構成としては、仮想デスクトップ/公開アプリケーションを提供するWindows仮想マシンにCarbon BlackのAgentをインストールして保護するアーキテクチャとなります。

<Horizon + Carbon Black アーキテクチャ>

※この構成の注意点として現在では仮想デスクトップの展開・割り当て方法によっては、プレビューサポートの場合やサポートされないCarbon Blackの機能があります。詳細は以下KBをご参照下さい。
・Interoperability of VMware Carbon Black and Horizon
https://kb.vmware.com/s/article/79180

　

ご紹介したように、"現時点"では仮想デスクトップの仮想マシンにエージェントをインストールする構成ですが、"今後は"エージェントレスで構成できるようになる見込みです。

今回のVMworldで"Carbon Black Cloud Workload"という機能が発表されました。
vSphereにCarbon Blackのセキュリティ機能を統合し、vSphere上の仮想マシンに対してエージェントレスでCarbon Black の持つNGAVやEDRなどのセキュリティ機能を提供します。

<Carbon Black Cloud Workload の vSphere Client 画面イメージ>

このCarbon Black Cloud Workloadによって、vSphere上に構成されたHorizonの仮想デスクトップ用の仮想マシンを、エージェントレスで保護できるようになるのではないでしょうか。
Carbon Black Cloud Workloadは今後リリース予定の機能のため、どういった形で提供されるのかまだまだわからないところもありますが、今後非常に注目すべき機能かと思います。

まとめ

Digital Workspaceのジャンルに関する発表、特に「Security + EUC」にクローズアップしてお届けしてまいりました。多くの方が頭を悩ませているテレワークICT環境のセキュリティ強化に関して様々な発表があり、高い関心を持ったお客様も多いのではないでしょうか。
VMware SASE Platformをはじめ今後のアップデート、機能リリースがとても気になるソリューションばかりですので、今後も引き続き最新の情報収集に努めていきたいと思います。

本ブログでは今後も、VMware EUC製品の情報を発信していきますので引き続きご確認頂けると幸いです。