2023.09.26
こんにちは。SB C&Sの鵜重です。
この記事では、VMwareにおけるゼロトラストセキュリティについてご紹介します。昨今、セキュリティ界隈で必須のキーワードとなっている『ゼロトラストセキュリティ』ですが、VMwareでは多岐にわたるソリューションを展開しており、ポイントを整理するとともに改めてゼロトラストセキュリティに関連するソリューションについてご紹介したいと思います。
ゼロトラストとは?
まず、おさらいまでにゼロトラストセキュリティそのものの考え方ですが、ゼロトラストセキュリティは、暗黙の信頼は常に脆弱性を生むという考えから生まれた概念で、「信頼せず、常に検証する」という基本原則をベースとします。デバイスのロケーション、IPアドレス、ネットワークアクセスの方法にかかわらず、どのようなデバイスもどのようなユーザーも信頼しません。ネットワーク上のすべてのやり取りは、発信元がどこであろうと常に検証が必要になります。
このようなゼロトラストアプローチを実現するために、5つの柱で構成されたアーキテクチャを提供します。
1.デバイスの信頼
デバイス管理、デバイス インベントリ、デバイス コンプライアンス、デバイス認証などのソリューションを実装することにより、認可されていないユーザーがデバイスへのアクセスを取得してそのアクセスを悪用するリスクを大幅に軽減できます。
2.ユーザーの信頼
ユーザーの信頼は、パスワード認証、多要素認証、条件に基づいたアクセス、動的な評価で構成され、ユーザーが実際に認可され検証されたユーザーであることを「証明する」ことを目的としています。
3.通信/セッションの信頼
通信/セッションの信頼を確保するためには、「最小権限によるリソースへのアクセス」という原則に基づいて、ユーザーに付与するアクセス権を制限し、特定の作業を行うために必要な最小限の権限を適用します。最初から高権限を与えてしまうと、仮に悪意のある者がなりすましログインをした際、重要なリソースに容易にアクセスできてしまいます。そのためログイン時点では最小権限としておき、必要な際に権限昇格を行うという形を取ることでリスクを最小化します。
4. アプリケーションの信頼
4. アプリケーションの信頼
アプリケーションの信頼を確保するために必要な要素として、シングル サインオン(SSO)、分離、そしてあらゆるデバイスからアプリケーションにアクセスできるようにするツールがあります。
5.データの信頼
5.データの信頼
データの信頼を確保する戦略として、暗号化や不変性による保存データの保護、データ完全性(データの完全性を頻繁にチェック)、DLP(データ損失防止)、データの分類などがあります。
VMwareにおけるゼロトラストソリューションは?
それでは次にVMwareにおける代表的なソリューションをご紹介したいと思います。
VMware Workspace ONE
ゼロトラストセキュリティでは、デバイス管理、ID の認証・許可、通信の保護、アプリケーション/データの保護に対処する必要があります。しかし、すべての段階にバラバラのソリューションを導入しては、管理や運用に負荷がかかり、結果として企業や組織の生産性を低下させるだけでなく、安全性の低下を招くことになりかねません。
VMware Workspace ONE は、デバイス、ID、通信、アプリケーションとデータを統合管理しながら、権限やアクセス状況などによるセキュリティを柔軟に組み合わせることで、ゼロトラストセキュリティを実現したデジタルワークスペースを提供します。
VMware Workspace ONE によるゼロトラスト運用の利用シーン
VMware Workspace ONE は、ユーザやデバイスに対する認証・認可や、場所や時間、デバイス状態(ウィルス感染、パッチの適用有無)などの情報収集とリスクのスコアリング、収集した情報に応じた動的なアクセスポリシーの適用、アクセス制御の細分化(マイクロセグメンテーション)、データのセキュリティ対策を統合し、デジタルワークスペースという形で運用管理することが可能です。VMware Workspace ONE1 つでゼロトラストセキュリティを実現するための必要な機能を網羅できるため、企業や組織はシンプルな運用でゼロトラストセキュリティを実現できます。時間や場所、デバイスやユーザーの状態に合わせて、VMware Workspace ONE が認証方法や認可するシステムを動的に変更します。
VMware Carbon Black Cloud
現在の企業や組織のセキュリティ対策は、エンドポイントが新たな防衛ラインとなっています。進化を続けるサイバー脅威によってあらゆるエンドポイントが侵入ルートとなる可能性があります。VMware Carbon Black Cloud は、フィルタリングされていないデータ収集、予測分析、およびクラウドベースの配信を組み合わせて、優れたエンドポイント保護を実現する、次世代型のクラウドセキュリティソリューションを提供します。
VMware Carbon Black Cloudは 侵入前の対策として NGAV(Next-Generation Antivirus)による、未知のサイバー攻撃に対処するために進化した独自開発の次世代アンチウイルス機能を提供し、
侵入後の対策となる EDR では、エンドポイントのイベント情報を収集し、セキュリティーインシデントにつながる振る舞いや、感染の早期検知や封じ込めといった対処と調査、早期の復旧を提供します。
未知のマルウェア、ファイルレス攻撃、または Living Off the land 攻撃(自給自足/環境寄生型攻撃)などの、これまでにない攻撃に対してもNGAV による強固な防御と、万が一の侵入後も EDR による対応によりサイバー脅威による被害と影響を最小限に抑えることが可能です。
VMware Carbon Black Cloud x Workspace ONEの連携機能
上述のVMware Workspace ONEとCarbon Black Cloudを連携することで、エンドポイントにおけるプロセスの振る舞いを監視し、イベント情報を収集することで、デバイス状態の管理、ユーザやデバイスに対する認証・認可情報とを組み合わせ、収集されたデータによるスコアリングと動的なアクセスポリシーの適用を行います。 これらの連携により、セキュリティインシデントにつながる脅威の侵入のいち早い察知と、被害拡大を最小限に抑えるための初動対応(および事前対策)を迅速に行い、IT担当者の運用負担を減らしながらセキュリティ強化を実現することが可能となります。
詳しい内容はこちらをご参照ください。
VMware SASE
VMware SASEではリモートワーク、オフィスワーク、どこからのアクセスであっても、まず最初にクラウドに準備されているVMware SASEの接続拠点である"PoP (Point of Presence)"に接続し、PoPを経由したのちに業務アプリケーションやインターネットへアクセスするアーキテクチャとなっています。
VMware SASEは単一のサービスではなく、VMware Secure Access、VMware SD-WAN、 VMware Workspace ONE、Cloud Web Securityといったサービスから構成されます。
VMware SD-WANによるネットワーク機能や、VMware Workspace ONE によるゼロトラストモデルを取り入れたアクセス管理機能も統合されているほか、 Secure Accessによるリモートアクセス機能、Cloud Web Securityによるインターネットアクセスのアクセスコントロール、解析、危険なWEBサイトおよび危険なファイルのアップロード/ダウンロードをブロックする機能を提供します。また、これにより、VMware SASE ではポリシーベースのアクセス制御が可能となり、場所やデバイスの種類や状態に基づいた、アプリケーションへのアクセス権を設定できます。
さらに、現在多くの環境に展開されている VMware NSX Firewall もロードマップとしてポートフォリオに組み込まれており、クラウド上で FW、IDS/IPS などの機能を提供する、『Firewall as a Service』 として今後提供される予定です。
おわりに
いかがでしたでしょうか?今回は、VMwareの代表的なゼロトラストセキュリティ対応プロダクトにフォーカスしてご紹介しました。VMwareでは今回ご紹介した製品以外にも魅力的なソリューションが多々ありますので、また別記事にてご紹介したいと思います。
関連記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 第3技術部 2課
鵜重 翔一
