ヴイエムウェアは3月7日、新たなセキュリティソリューションとなる「VMware Service-Defined Firewall」を発表した。VMware NSXとVMware App Defenseのそれぞれの機能を利用したサービスとして提供する。現在はVMware App Defense日本語版の開発を急いでおり、これに合わせて日本でのVMware Service-Defined Firewallの提供を開始することになる。
チーフストラテジストの高橋洋介氏によれば、新製品は最新のVMware NSX 2.4の機能にApp Defenseの機能を組み合わせ、内部ファイアウォールに焦点を当てているという。ネットワークおよびホストの両方で、既知の振る舞いを厳重にロックダウンし、オンプレミス/クラウド環境に存在する攻撃対象領域を狭める。そして、一度作成したポリシーに合わせた設定だけでなく、自動的にポリシーが進化し、状況の変化に適応するファイアウォールが実現される。「従来にないレベルでアプリケーションを可視化でき、アプリケーション、データ、ユーザーの保護を強化できる」(高橋氏)とした。
またVMware Service-Defined Firewallは、これまでは別々に開発、販売されていたNSXとApp Defenseの機能をコアに、セット提供するものになり、「NSX導入企業は、App Defenseを追加するといった導入が中心になるが、まだNSXを導入していない企業はVMware Service-Defined Firewallによる導入が適している」(高橋氏)という。
「VMware Service-Defined Firewall」のコンセプト。VMware NSXとVMware App Defenseを組み合わせた
VMwareは、2017年8月に米国ラスベガスで開催した「VMworld 2017」でApp Defenseを発表。セキュリティを重要な事業の柱の一つに位置付けてきた。ここでは、脅威を追いかけるのではなく、アプリケーション本来の正しい動きを確実に捉え、それによって脅威を探し出すという、独自のアプローチを採用しているのが特徴だ。
VMware Service-defined Firewallでもこの考え方を踏襲し、未知の振る舞いを精査するのではなく、既に導入しているアプリケーションでの既知の振る舞いに特化したファイアウォールを構築するようにした。「Application Verification Cloud」によって、世界中に存在する数百万台の仮想マシンのマシンインテリジェンスを使用し、アプリケーションが既知の良好な状態であることを示すマップを作成、セキュリティポリシーを生成することで、複雑な“ヘアピン通信”を用いることなく、ポリシーを着実に実施できるという。
さらに、企業システムでアプリケーションが分散化するのに合わせて、セキュリティ対策を分散させることに着目している。VMware Service-defined Firewallは、ベアメタル、仮想マシン、コンテナアプリケーションの環境で稼働し、今後は「VMware Cloud on AWS」や「AWS Outposts」のハイブリッドクラウド環境もサポートする予定だという。
アプリケーションの既知の振る舞いを検証した後は、VMware Service-defined Firewall用としてレイヤ7に対応し、完全なステートフル検査を実施するという。また、ゲスト環境にインストールすることなく、ゲストのOSやアプリケーションを検査し、ネットワーク上の不正なトラフィックを検知して遮断する。さらにゲスト自身も検査し、実行時にOSやアプリケーション内に不正な振る舞いがあれば、全て特定、阻止するとしている。
脅威対策は、アプリケーションの正常な振る舞いに着目した“ホワイトリスト”アプローチを採用する。正常な振る舞いの“基準”は機械学習で精度を高めていく
高橋氏は、VMware Service-defined Firewallが(1)インフラ組み込み型、(2)Application Verification Cloudの提供、(3)ソフトウェアによる分散配置の実現――の3つが特徴と前置きし、「あらかじめインフラに組み込まれたセキュリティにより、アプリケーションスタックの深い可視化と、サービスとトラフィックの制御を実現する」と述べた。
その上で、「エージェントインストール型から脱却したデプロイを実現するとともに、攻撃対象領域から隔離する。Application Verification Cloudでアプリケーションの良好な振る舞いを確認でき、VMwareのフットプリントを拡張的に利用するとともに、機械学習を活用して脅威を確認するのでなく、良い状況を見ることで正常な状況を確保できる」と語った。
これは例えば、通学路を離れて学校に通う児童を見つけた場合に警告を発するのと同じ考え方であるという。また、ソフトウェアによる分散配置では、1つのファイアウォールをどこにでも分散配置し、どこでも実行可能にした、高い自動性能と適応性を持つとした。
同社によると、Verodinによる検証では、検知および防止(Detect and Prevent)のいずれのモードで動作している場合でも、テスト手順で使用した不正な攻撃に対して、100%の検知率および防止率を達成したという。一方で高橋氏は、「デジタルト変革を推進すると、それに比例する形で脅威が増大し、セキュリティ損害も増加している」と話した。
同氏によれば、情報漏えいに関わる被害コストは拡大しており、調査では被害平均総コストが386万ドルに達し、セキュリティ関連のハードウェアやソフトウェア、サービスへの投資額は2022年に1337億ドルにまで増大すると見込まれている。これは2018年の45%増になる規模という。
「VMwareは、2013年にNSXの初版をリリースし、ネットワークのマイクロセグメンテーションを実現した。レイヤ4対応に過ぎなかったが、その後はレイヤ7にも対応した。2017年には、コンテキスト認識のマイクロセグメンテーションを提供し、2018年にはApp Defenseとの統合で『アダプティブマイクロセグメンテーション』も実現した。VMware Service-Defined Firewallは、これらの進化であり、Application Verification Cloudでは、アプリケーションとその変化から派生する100~1000ものマイクロサービスの詳細を把握できる」(高橋氏)
また、VMwareのセキュリティ戦略の基本は「Intrinsic Security(包括的なセキュリティ)」であり、ネットワーク、コンピュート、テータ、ユーザー/デバイス/アプリケーション、管理、分析、クラウドという5つの観点から提供すると高橋氏は解説する。今回のVMware Service-Defined Firewallはネットワークセキュリティを提供するもので、変化に対応するアダプティブマイクロセグメンテーションを可能にしつつ、ワークロードの自動拡張が可能な、組み込み型のロードバランサとなる。なお、近いうちに分散型の次世代IPS(不正侵入防止システム)の発表も予定しているという。
VMwareのセキュリティ戦略の全体像
加えて高橋氏は、ユーザー/デバイス/アプリケーションでは、VMware Workspace ONEによってデジタルワークスペースをプロアクティブに保護するとし、管理および分析では、VMwareプラットフォームの全ての主要テレメトリを取得することで、Splunkなどのパートナーと連携したロギングやセキュリティの予測分析を提供するとした。
クラウドでは、Amazon Web Services(AWS)やMicrosoft Azureなどのマルチクラウド環境でのセキュリティのリアルタイムの確認、クラウドを用いた脆弱性および脅威の識別が可能になるなどと説明した。
