VDIとネットワーク仮想化を組み合わせた
ダメージコントロールのアプローチ
従来からの侵入防止を中心とした「入口対策」は言うまでもなく重要だが、加えて現在のセキュリティ対策においては「内部対策」や「出口対策」まで包括した多層防御の整備が急務となっているのである。
これは何もサイバー攻撃だけに限った対策ではない。楢原氏は日本ネットワークセキュリティ協会(JNSA)による「情報セキュリティインシデントに関する調査報告書」を引用しつつ、「2015年に発生した情報漏えいインシデント800件のうち、実に約50%が紛失や管理ミスが原因となっています」と語る。そして原因がどうあれ、情報漏えいを起こした際の1件あたりの平均想定賠償額は3.3億円に上るというから深刻だ。
では、具体的にどんな対策をとることが有効なのだろうか。楢原氏は、オーストラリア国防省が 2014年に発表した施策を引き合いに出し、「利用アプリケーションのホワイトリスト化(業務で利用するアプリの完全統制)」「各OSや利用アプリケーションのパッチマネジメント(脆弱性の根本対策)」「管理者権限の管理を徹底(職務の分離と最小限のアクセス制御)」の3つのポイントを挙げる。実際これによりオーストラリア国防省は、サイバー攻撃を85%も削減できたという。
そして、これらの施策を実行する上で最も効果的かつ確実性の高い効果が期待できるのが、フルスペックのVDI(デスクトップ仮想化)とネットワーク仮想化を組み合わせた「ダメージコントロール」のアプローチであり、「その結果として"IT ガバナンスの強制"を徹底することができます」と楢原氏は強調する。
社内ネットワークに侵入した脅威の
「無害化」「最小化」「健全化」を支援
ヴイエムウェアでは仮想化ハイパーバイザーの「VMware vSphere」、フルスペックVDIの「VMware Horizon」、ネットワーク仮想化の「VMware NSX」といった仮想化基盤を一貫して提供。「既存のセキュリティ対策を補完し、侵入した脅威の『無害化(脅威発生源の分離)』から『最小化(脅威影響範囲の最小化)』『健全化(汚染環境の健全化)』に至るダメージコントールの全体フェーズを支援しています」と楢原氏は語る(図1)。
ベースとなるのはVMware NSXを活用した「マイクロセグメンテーション」という考え方だ。セキュリティゾーンをセグメント単位から仮想マシン単位に最小化して分散ファイアウォールを配置し、仮想マシン間の通信を必要最小限に制限することでマルウェアの拡散を防止するのである。
また、脅威の予兆分析の結果としてマルウェア感染が疑われる場合、その仮想デスクトップを社内ネットワークから隔離(検疫)するとともに、「リンククローン」や「インスタントクローン」と呼ばれる機能を活用してマスターイメージで更新することで、感染前の健全な状態に迅速に戻すことができる。
ちなみにVMware NSXは、2016年9月に米国防情報システム局(DISA)が策定するセキュリティ技術導入ガイド(STIG)の認定を受けた。「SDN(Software-Defined Network)の分野では初めて認定を受けたソリューション」(楢原氏)という快挙からも、セキュリティ対策におけるその高い効果が裏付けられている。
実際、VMware NSXは全世界で1700社を超える企業や組織、日本国内でもすでに約150社に導入され、例えば大手公共企業や研究教育機関などでも成果を上げている。運用負荷を最小限に抑えつつITガバナンスを徹底していく、あるべきダメージコントロールの実現に貢献しているのである。
ダメージコントロールの基本概念
※クリックすると拡大画像が見られます
