DAY1のSESSION1では、ヴイエムウェアのネットワーク&セキュリティ事業部 技術本部長を務める大平伸一氏が「VMworld 2021 Japan の振り返りZerotrust Network Security ダイジェスト編」をテーマに講演した。
最も脆弱な侵害ポイントは?
大平氏はまず始めに「VMwareセキュリティ脅威レポート2021」について解説。それによると、日本企業のIT分野・セキュリティの担当者を対象にした独自調査においてもっとも脆弱な侵害ポイントとして「アプリケーション」を挙げた回答が2年前の22.3%から、今年は10ポイント以上増えて33%となっていることを指摘。
続いて「ネットワーク」という回答は前回から倍増した27%となっている。さらに、「ワークロード」は、前回の5.2%から、21%と一気に増えていることを言及
続いて近年のセキュリティインシデント情報を解説。米国のインフォセキュリティグループがコロナ禍以降に公表した情報によると、サイバー犯罪件数の上昇率は300%と非常に高く、内部インフラからの攻撃は59%と内部トラフィックの侵害が多くなっている。攻撃を受けた場合、攻撃自体がシステム内にとどまっている期間は24日間と非常に長く、攻撃の開始からずっと動き回っていることが分かる。また、サイバー攻撃の中でも、ランサムウェアが占める割合は25%と最も多い結果となった。「まずは、これらの点を意識してセキュリティ対策を考えていくことが大切」と説明している。
VMwareのセキュリティ戦略とゼロトラストへのアプローチ
近年、クラウドのサービスが急速に普及したことと、在宅勤務の推進によってITインフラ環境が非常に複雑化している。例えば、会社のスマホやPCは、テレワークの広がりによってオフィスの外で使う機会が増えた。SaaSやIaaSなどクラウドの普及により、自社のデータセンターの外でデータやアプリケーションが稼働するケースが増えている。
このように「インフラが複雑化することにより、セキュリティ対策の考え方も複雑になっているので注意が必要」という。企業のネットワークセキュリティにおいて、従来のように会社という境界の内側だけで企業の重要資産を利用するわけではない。前提が変化しているため、新しいネットワークセキュリティの考え方や対策が必要になるという。
「エンドポイントにセキュリティ対策ソフトを入れ、ネットワークセキュリティとしてファイアウォールやサンドボックスを導入して対策するといったことが多いでしょう」(大平氏)
しかし、それぞれのセキュリティ対策として、違うベンダーの製品を利用してしまうと、コンソールや運用がバラバラになり、サイロ化してしまう。
「セキュリティ対策のための投資が増えるだけでなく、運用が複雑化してしまうことが、昨今のセキュリティ課題になっている」(大平氏)
現代では、セキュリティ対策を考える際に、次のポイントを意識する必要があるとする。
- 攻撃対象範囲の急増
注意すべきことは、攻撃対象範囲が急激に拡大していること。クラウドの普及により、一カ所のデータセンターだけ守ればいい、というわけにはいかなくなっている。従業員が使う端末も同様で、オフィスの外に出る機会が増えたことにより、攻撃を受けるリスクが大きくなっている。 - 多くのツールによる運用と組織のサイロ化
導入する部門によるサイロ化、セキュリティソリューションそのものが連携できないことでさらに複雑化している。 - コンテキストの欠如
コンテキストの欠如も大きな課題だ。攻撃・インシデントが起きたとき、攻撃を受けた原因・場所・経路や、重要なデータ・重要でないデータなのか、どのようにして攻撃対象になっているのか、このようなことを瞬時に把握する必要がある。しかし、攻撃を受けたときに重要なデータにアクセスされたのか、重要なアプリケーションが破壊されたのか、ということはなかなか可視化できないのが実情という。
VMwareのセキュリティ対策・戦略の柱
そこで、VMwareはどのようにセキュリティ対策を実施していくのか。戦略の柱として、「セキュリティをシンプルにしていく」と話す。
まず、攻撃対象範囲の急増に対しては、ハイパーバイザー上にセキュリティの機能をあらかじめ内在しておくことで対策する。これにより、さまざまな部署がそれぞれセキュリティ製品をバラバラに導入することで、サイロが生まれてしまうことを防げるからだ。このような状態になると、組織間連携も重要になり運用負荷も大きくなる。なるべく少ないソフトウエアスタックで、全体的なセキュリティソリューションを一元管理できるものを実現することを重視。脅威インテリジェンスとインフラのデータをもとに、迅速かつ正確に対応することも重要である。
VMwareのセキュリティ製品の柱であるEDRやNDR (Network Detection and Response)の共通点は、AIエンジンを活用し、未知の攻撃に対するゲストOSのネットワーク上での振る舞いから、怪しい動きをリアルタイムでチェックすることにある。これにより、高度化するサイバー攻撃に対応することを目指している。
VMwareセキュリティの全体像
大平氏は、セキュリティの全体像を考えるとき、エンドポイントセキュリティ、ネットワークセキュリティ、マルチクラウドセキュリティの3つの階層について意識する必要があると指摘する。それぞれ見ていこう。
- マルチクラウドセキュリティ
重要なアプリケーションやデータを置いている場所は、厳重にセキュリティ対策をすることが大切。データセンター内部などはマイクロセグメンテーション、IDS/IPS、サンドボックス、NDR、EDRといったものを組み合わせながら、ゼロトラストセキュリティを実現していく必要があるとしている。 - ネットワークセキュリティ
ネットワークセキュリティを考える際は「ダイレクトに自社のデータセンターにアクセスする」といった考え方を変える必要がある。認証・認可を受けた端末・ユーザーでも、流れるトラフィックや通信先を常にチェックしなければ、脅威を回避することはできないと考える必要がある。
また、デバイスの認証だけでなく、ネットワークとセキュリティの機能をクラウド上で一体として提供する考え方であるSASE(Secure Access Service Edge)などで提供しているCASB(Cloud Access Security Broker:キャスビー)や、セキュアWebゲートウェイなどを活用して、インラインでチェックしていく必要がある。 - エンドポイントセキュリティ
エンドポイントセキュリティでは、主にデバイスの認証・管理を徹底する必要がある。現在では、業務用のスマホ・PCなどの端末を、自宅・オフィス・外出先などで利用する機会が多くなっているため、2要素認証、デバイス管理、OSのパッチの管理などが必要になってくる。また、場所・時間によってアクセスできる先、使えるアプリ・クラウドもコントロールする必要があるとしている。
VMware製品とのマッピング
上記で挙げたマルチクラウドセキュリティ、ネットワークセキュリティ、エンドポイントセキュリティについて、それぞれを以下のようにVMware製品とマッピングさせて説明する。
マルチクラウドセキュリティを実現するのはVMware NSX Advances Threat PreventionとVMware Carbon Black Cloud Workload、ネットワークセキュリティはVMware SASE、エンドポイントセキュリティはVMware Workspace ONE、VMware Carbon Black Cloud Endpointが対応している。
講演では、さらに製品に関する掘り下げや研究機関の取り組みなどを取り上げながら、VMwareのゼロトラスト戦略とゼロトラストへのアプローチを詳しく説明している。
