ヴイエムウェア、新型ファイアウォールを開発--アプリケーションの正規動作に着目

大河原克行 2019年03月08日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 ヴイエムウェアは3月7日、新たなセキュリティソリューションとなる「VMware Service-Defined Firewall」を発表した。VMware NSXとVMware App Defenseのそれぞれの機能を利用したサービスとして提供する。現在はVMware App Defense日本語版の開発を急いでおり、これに合わせて日本でのVMware Service-Defined Firewallの提供を開始することになる。

 チーフストラテジストの高橋洋介氏によれば、新製品は最新のVMware NSX 2.4の機能にApp Defenseの機能を組み合わせ、内部ファイアウォールに焦点を当てているという。ネットワークおよびホストの両方で、既知の振る舞いを厳重にロックダウンし、オンプレミス/クラウド環境に存在する攻撃対象領域を狭める。そして、一度作成したポリシーに合わせた設定だけでなく、自動的にポリシーが進化し、状況の変化に適応するファイアウォールが実現される。「従来にないレベルでアプリケーションを可視化でき、アプリケーション、データ、ユーザーの保護を強化できる」(高橋氏)とした。

 またVMware Service-Defined Firewallは、これまでは別々に開発、販売されていたNSXとApp Defenseの機能をコアに、セット提供するものになり、「NSX導入企業は、App Defenseを追加するといった導入が中心になるが、まだNSXを導入していない企業はVMware Service-Defined Firewallによる導入が適している」(高橋氏)という。

「VMware Service-Defined Firewall」のコンセプト。VMware NSXとVMware App Defenseを組み合わせた
「VMware Service-Defined Firewall」のコンセプト。VMware NSXとVMware App Defenseを組み合わせた

 VMwareは、2017年8月に米国ラスベガスで開催した「VMworld 2017」でApp Defenseを発表。セキュリティを重要な事業の柱の一つに位置付けてきた。ここでは、脅威を追いかけるのではなく、アプリケーション本来の正しい動きを確実に捉え、それによって脅威を探し出すという、独自のアプローチを採用しているのが特徴だ。

 VMware Service-defined Firewallでもこの考え方を踏襲し、未知の振る舞いを精査するのではなく、既に導入しているアプリケーションでの既知の振る舞いに特化したファイアウォールを構築するようにした。「Application Verification Cloud」によって、世界中に存在する数百万台の仮想マシンのマシンインテリジェンスを使用し、アプリケーションが既知の良好な状態であることを示すマップを作成、セキュリティポリシーを生成することで、複雑な“ヘアピン通信”を用いることなく、ポリシーを着実に実施できるという。

 さらに、企業システムでアプリケーションが分散化するのに合わせて、セキュリティ対策を分散させることに着目している。VMware Service-defined Firewallは、ベアメタル、仮想マシン、コンテナアプリケーションの環境で稼働し、今後は「VMware Cloud on AWS」や「AWS Outposts」のハイブリッドクラウド環境もサポートする予定だという。

 アプリケーションの既知の振る舞いを検証した後は、VMware Service-defined Firewall用としてレイヤ7に対応し、完全なステートフル検査を実施するという。また、ゲスト環境にインストールすることなく、ゲストのOSやアプリケーションを検査し、ネットワーク上の不正なトラフィックを検知して遮断する。さらにゲスト自身も検査し、実行時にOSやアプリケーション内に不正な振る舞いがあれば、全て特定、阻止するとしている。

脅威対策は、アプリケーションの正常な振る舞いに着目した“ホワイトリスト”アプローチを採用する。正常な振る舞いの“基準”は機械学習で精度を高めていく
脅威対策は、アプリケーションの正常な振る舞いに着目した“ホワイトリスト”アプローチを採用する。正常な振る舞いの“基準”は機械学習で精度を高めていく

 高橋氏は、VMware Service-defined Firewallが(1)インフラ組み込み型、(2)Application Verification Cloudの提供、(3)ソフトウェアによる分散配置の実現――の3つが特徴と前置きし、「あらかじめインフラに組み込まれたセキュリティにより、アプリケーションスタックの深い可視化と、サービスとトラフィックの制御を実現する」と述べた。

 その上で、「エージェントインストール型から脱却したデプロイを実現するとともに、攻撃対象領域から隔離する。Application Verification Cloudでアプリケーションの良好な振る舞いを確認でき、VMwareのフットプリントを拡張的に利用するとともに、機械学習を活用して脅威を確認するのでなく、良い状況を見ることで正常な状況を確保できる」と語った。

 これは例えば、通学路を離れて学校に通う児童を見つけた場合に警告を発するのと同じ考え方であるという。また、ソフトウェアによる分散配置では、1つのファイアウォールをどこにでも分散配置し、どこでも実行可能にした、高い自動性能と適応性を持つとした。

 同社によると、Verodinによる検証では、検知および防止(Detect and Prevent)のいずれのモードで動作している場合でも、テスト手順で使用した不正な攻撃に対して、100%の検知率および防止率を達成したという。一方で高橋氏は、「デジタルト変革を推進すると、それに比例する形で脅威が増大し、セキュリティ損害も増加している」と話した。

 同氏によれば、情報漏えいに関わる被害コストは拡大しており、調査では被害平均総コストが386万ドルに達し、セキュリティ関連のハードウェアやソフトウェア、サービスへの投資額は2022年に1337億ドルにまで増大すると見込まれている。これは2018年の45%増になる規模という。

 「VMwareは、2013年にNSXの初版をリリースし、ネットワークのマイクロセグメンテーションを実現した。レイヤ4対応に過ぎなかったが、その後はレイヤ7にも対応した。2017年には、コンテキスト認識のマイクロセグメンテーションを提供し、2018年にはApp Defenseとの統合で『アダプティブマイクロセグメンテーション』も実現した。VMware Service-Defined Firewallは、これらの進化であり、Application Verification Cloudでは、アプリケーションとその変化から派生する100~1000ものマイクロサービスの詳細を把握できる」(高橋氏)

 また、VMwareのセキュリティ戦略の基本は「Intrinsic Security(包括的なセキュリティ)」であり、ネットワーク、コンピュート、テータ、ユーザー/デバイス/アプリケーション、管理、分析、クラウドという5つの観点から提供すると高橋氏は解説する。今回のVMware Service-Defined Firewallはネットワークセキュリティを提供するもので、変化に対応するアダプティブマイクロセグメンテーションを可能にしつつ、ワークロードの自動拡張が可能な、組み込み型のロードバランサとなる。なお、近いうちに分散型の次世代IPS(不正侵入防止システム)の発表も予定しているという。

VMwareのセキュリティ戦略の全体像
VMwareのセキュリティ戦略の全体像

 加えて高橋氏は、ユーザー/デバイス/アプリケーションでは、VMware Workspace ONEによってデジタルワークスペースをプロアクティブに保護するとし、管理および分析では、VMwareプラットフォームの全ての主要テレメトリを取得することで、Splunkなどのパートナーと連携したロギングやセキュリティの予測分析を提供するとした。

 クラウドでは、Amazon Web Services(AWS)やMicrosoft Azureなどのマルチクラウド環境でのセキュリティのリアルタイムの確認、クラウドを用いた脆弱性および脅威の識別が可能になるなどと説明した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]