シマンテックが指南するデータセンター統合セキュリティのアプローチ--「Data Center Security 」で実現する強固なSDDCとは - (page 2)

ZDNET Japan Ad Special

2015-03-24 15:00

[PR]VMware NSXのセキュリティ対策として有効な「Symantec Data Center Security(DCS)」を紹介。同製品はバーチャルアプライアンスとしてVMware NSXへ実装され、サーバのセキュリティに求められる様々な機能を提供する。

「Symantec Data Center Security」で実現できること

 では、VMware NSXのセキュリティ対策は、組み込みセキュリティサービスだけで十分なのか。答えは「No」だ。VMware NSXにはサードパーティのサービスも組み込める仕様になっている。つまり、運用に応じて個別のセキュリティ対策を講じることが前提なのだ。

 サードパーティのセキュリティ対策ソフトとして注目されているのが、VMWare NSXにいち早く対応したシマンテックの「Symantec Data Center Security(DCS)」である。これは、バーチャルアプライアンスとしてVMware NSXへ実装され、サーバのセキュリティに求められる様々な機能を提供するソフトウェアだ。シグネチャベースのマルウエア対策や仮想パッチの提供といった、従来のウイルス侵入防止機能だけでなく、仮想OS上での脆弱性対策やウイルス実行をブロックしたり、仮想OS間のウイルスの感染拡大も阻止したりするなど、ハイパーバイザー・レベルで高度なセキュリティ機能を提供する。

DCS Server Advancedで提供するセキュリティ機能(抜粋)。<br>マイクロセグメント単位で、監視/保護を実行する DCS Server Advancedで提供するセキュリティ機能(抜粋)。
マイクロセグメント単位で、監視/保護を実行する
※クリックすると拡大画像が見られます

 またセキュリティ機能だけでなく、運用面での効率化が実現できることも、大きなアドバンテージである。モジュール単位でのセキュリティ運用は、きめ細やかなセキュリティ対策が設定できる反面、運用が煩雑になるという課題があった。しかし、DCSであれば、セキュリティポリシー管理とワークフローの統合が自動化されているので、担当者が運用管理に頭を抱えることはない。なにより、「ヒューマンエラーによる脆弱性の放置」を防止することができるのだ。


株式会社シマンテック
セールスエンジニアリング本部
セキュリティ製品技術部
マネージャ 西秀夫氏

 DCSは、用途別に「Server」と「Server Advanced」という2つのエディションがあり、DCS Serverはエージェントレスのマルウエア防御機能を提供する。シマンテックでセールスエンジニアリング本部 セキュリティ製品技術部 マネージャを務める西秀夫氏は、「ネットワーク仮想化による課題は、ゲストOSが物理的に移動することによる管理サーバとエージェントの通信の切断です。しかし、DCS Serverはエージェントをハイパーバイザー側に入れることで、エージェントをOS側に入れなくてもマルウエア対策が可能となります。マイクロセグメント単位でサービスが稼働するので、マイクロセグメント間の通信が暗号化されていてもセキュリティを確保できるのです」と説明する。

「DCS Server」と「DCS Server Advanced」で提供する機能 「DCS Server」と「DCS Server Advanced」で提供する機能
※クリックすると拡大画像が見られます

 一方、DCS Server Advancedは、DCS Serverとは異なり、OS上のアプリケーションやOS自体に対して脆弱性対策と侵入防止対策の機能を提供する。未許可プログラムの動作抑止と、アプリケーションデータへのアクセス制限を強制することで、セキュリティコンテンツの更新がなくても最新の攻撃パターンからシステムを防御する。また、仮想サーバのパフォーマンスへの影響が少ない「in-guestエージェント」を介して、ポリシーベースのきめ細かい制御を提供する。これにより、物理サーバ環境と仮想サーバ環境が混在する「ハイブリッド仮想化環境」を一元的に監視/保護することが可能だ。その他にも、マイクロセグメント単位で、アプリケーションのサンドボックス化、ファイアウォール、システムロックダウン、改ざん検知、デバイスコントロール、侵入検知・防止、ログファイル監視などを実現している。

DCSが提供するマルウエア対策機能。VMware NSXに完全対応し、ハイパーバイザー・レベルでウイルスの実行や感染をブロックする DCSが提供するマルウエア対策機能。VMware NSXに完全対応し、
ハイパーバイザー・レベルでウイルスの実行や感染をブロックする
※クリックすると拡大画像が見られます

 DCS Server Advancedでも特に注目すべき機能は、アプリケーションの「ラッピング機能」だろう。

 ラッピング機能は、アプリケーションに一切の変更を加えることなく、実行権限、ファイルアクセス、レジストリアクセスといったサーバで提供する機能を各アプリケーションに付与し、適切にコントロールする技術である。これにより、外部から不正侵入されたり、脆弱性を狙った攻撃を受けた場合でも「操作自体をさせない」ことで、様々な攻撃を防止できる。西氏は、「ラッピング機能はシグネチャを更新することなく、不正改ざんや設定ミスを監視できます。サーバ防御には最適な技術なのです」と説明する。

 現在、DCSは、SDDC環境だけではなく、金融機関や社会インフラ系、制御システム、通信インフラ、流通のPOS(Point of Sales:販売時点情報管理)システムなど「パフォーマンスの低下を最低限に抑え、かつ頻繁にセキュリティアップデートが実行できないミッションクリティカルな環境」で数多くの導入実績を誇る。

DCSの導入実績(一部)。ミッションクリティカルな環境で導入されている DCSの導入実績(一部)。ミッションクリティカルな環境で導入されている
※クリックすると拡大画像が見られます

 今後、SDDCは急速に普及する。その際、セキュリティ対策をおざなりにし、システム全体を脅威にさらしてしまったら、その被害は計り知れない、SDDCの運用を検討している企業は、ぜひ「セキュア・バイ・デザイン」の思想に則り、堅牢なSDDCを構築してほしい。

SDNとNFVは企業のネットワークをどう変えるか
SDNとNFVは企業のネットワークをどう変えるか

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]