}

VMware Security Summit 2022 - セッションレポート

VMware の IT チームによる
ゼロトラストの実践

2022年5月31日に開催したイベント「VMware Security Summit 2022」では、VMwareのITチームが実践する、最新のゼロトラスト オペレーティングモデルの実装についてのセッションが行われました。VMwareのシニアセキュリティリーダーであるCraig Savageが、ゼロトラスト・セキュリティ環境をどのように実現したのか、具体的な取り組みと成果を紹介しました。

Craig Savage

VMware, Inc
Information Security Strategy Director

  • CISSP(認定情報システム セキュリティ プロフェッショナル)
  • ISSMP(情報セキュリティ システム管理プロフェッショナル)
  • 主な担当業務
    • 情報セキュリティ関連の働きかけとコミュニケーション
    • 経験豊かなトランスフォーメーション コンサルタント
    • セキュリティの簡素化を提唱

世界中で35,000人が勤務するVMwareのITインフラとは

VMwareでは、Any device、Any application、Any Cloud―あらゆるデバイスであらゆるアプリケーションをあらゆるクラウドで実現するデジタル基盤を提供しています。VMware自身も、オンプレミス環境やクラウド環境、SaaS、さまざまな種類のデバイスを利用しており、VMwareのITセキュリティ担当者はその安全な実行を管理、保護しています。

Savageは、ITチームが管理する自社のIT環境(2022年5月時点)について説明しました。データセンターは世界中に24ヶ所あり、ベアメタルハイパーバイザーであるVMware ESXiを7,500ホストし、91,000の永続的なVMが稼働しています。それ以外に1週間に作成・破棄されるVM数は160万あり、同様にコンテナも1週間に220万が作成・破棄されています。Savageは「これだけ大規模で、変化が激しいと、従来の情報セキュリティでは対処できません。アンチウイルスや各種構成管理をインストールする時間もありません。ですから、考え方を変える必要がありました」と語りました。

VMwareの従業員はおよそ35,000人いて、統合エンドポイント管理ツールであるWorkspace ONE UEMに登録している従業員のデバイスは64,000を超えます。会社のデバイスだけでなく、個人のデバイスも利用しているのです。

VMwareのネットワークは、クラウドとオンプレミスを融合させたハイブリッドクラウドです。クラウドホスト型のデータセンターが、従来型のデータセンターと統合されています。マイクロセグメンテーションは必須で、コードや製品ロードマップ、その他知的財産を分離して管理しています。アクセスするには、パスワードだけでなく、2要素認証、証明書、シングルサインオンが必須となっています。リモートアクセスや契約社員、外部パートナーに対してはVMware Horizonリモートデスクトップを提供しています。このように、ゼロトラストモデルをインフラ全体で確実に実現しているのです。

ゼロトラストの基本と、それを実現するVMwareのプロダクト

ゼロトラストを実現するには、ネットワークにアクセスしてくるエンドユーザーがどのような状態にあるかを理解・把握する必要があります。Savageは、ゼロトラストの基礎となる、ユーザーを取り巻く5つの柱を紹介しました。

1つ目はIDです。アプリケーションやデータにアクセスにユーザーに正確な認証と認可を行う仕組みは不可欠です。2つ目はアプリケーションやサービスを把握し、新しいアプリケーションやアップデートを簡単に展開できる仕組みです。3つ目は権限の管理です。適切なユーザーが必要なシステムにアクセスできる環境を構築することで、悪意のある活動を制限します。4つ目はネットワークアクセスで、コアネットワークにアクセスすることなく作業できる仕組みが必要です。コアネットワークは重要なサービスのみに使用するよう区別します。5つ目は暗号化です。トラフィックの暗号化に加え、デバイスの盗難・紛失の際のデータ資産の保護のために必要です。

次にSavageは、アプリケーションとデータを保護するため、4つの境界で協調するチームについて説明しました。ワークロードとクラウドエンドポイントの境界は情報セキュリティチームが担当し、アクセスとネットワークの境界はネットワークチーム、エンドポイントとアクセスの間はエンドユーザーサービスチーム、ネットワークからワークロードの流れはクラウド運用チームがそれぞれ担当します。

4つのチームは、一緒に働くことはありませんが、ゼロトラストを実現するために共通のビジョンを共有しています。Savageは「すべてのことに可視化と分析が必要です。可視化と分析がなければ安全だとか、セキュリティが機能しているとかに確信を持つことができないからです。そして最終的に必要になるのが自動化とオーケストレーションです。手作業に頼ると人手がいくらあっても足りないからです」と述べました。

デバイス、ユーザー、データ、アプリケーションの信頼を確保するためのエンドポイントセキュリティにおいては、ID管理ソリューションのVMware Workspace ONE Access、エンドポイント保護のVMware Carbon Black、データの暗号化、情報漏洩防止対策を施しています。Savageは「これらすべてがロギングパイプラインシステムを経由してSIEMとLog Insightに送信され、SOAPプラットフォームで自動化やイベントの充実化を行うことができます」と説明しました。

 続いてSavageは、SD-WANについて説明しました。従来、社内ネットワークでは、外部からのアクセスを管理するために高額の費用をかけてファイアウォールなどの機器を導入する必要がありました。SD-WANならリーズナブルな費用でテレワーク環境から各拠点へ安全な接続環境を提供できます。

Savage自身も在宅勤務をすることがあり、自宅のネットワークから社内の情報にアクセスします。同居する2人の子供たちも同じホームネットワークを使っており、YouTubeやNetflixなど、業務に関係ないインターネット利用によって、マルウェア感染などの危険性があります。そこでSD-WANを使用して、業務に関係するものとそうでないトラフィックを区別します。これによって、従業員のプライバシーを保護しながら、遠隔地からのアクセスでも接続の安定性も保つことができると言います。

Savageはこのほかに、VMware Carbon Blackが実現する未知の脅威の検出や、レガシー環境のセキュリティをモダン化できるVMware NSXについて説明し、VMwareのITチームが取り組んだゼロトラストの成果として、500Gbpsのトラフィック保護、90%のセキュリティポリシー削減、1ヶ月あたり40時間のメンテナンス作業を削減したと語りました。

「従来の環境では、ネットワークスイッチ、ファイアウォールの監視ルールがあり、誰かがその場に行って設定や動作が正しいことを定期的に確認しなければなりませんでした。こうした作業を一元化し、NSX を介して自動的にデプロイできるようになりました。時間と労力の節約になり、従業員はより重要な仕事に時間を費やすことができます」(Savage)

VMware自身が実践してきた知見を失敗も含めて共有

VMwareでは、アプリケーションとデータを保護するためにさまざまなソリューションを展開しています。Savageは、先に紹介した4つの境界にあてはめて紹介しました。エンドポイントとアクセスの間はWorkspace ONEとSASE Platform、アクセスとネットワークの境界はNSX、ネットワークからワークロードの交差部分ではCloudHealth Secure Stateを使い、ワークロードとクラウドエンドポイントの境界はVMware Carbon Blackが担います。そして、VMware Horizonによって、契約社員や外部のパートナーにアクセス手段を提供しています。

Savageは最後に、VMware技術チームと顧客とをつなぐ「VMware on VMwareプログラム」を案内し「実際に製品を使って仕事をしている専門家は、経験を共有する能力を持っています。VMwareが学んだ失敗などを共有してみなさんの進歩につなげていただくプログラムです」と呼びかけました。

VMware on VMwareプログラム

VMware の IT 部門は、自社環境で VMware 製品を活用し、そこから得られた知識を同業他社であるお客様と共有しています。

この講演のオンデマンド配信


VMware Security Summit 2022

VMware の IT チームによるゼロトラストの実践
自社ゼロトラスト取り組み事例

オンデマンド配信を視聴する


TOP