}

VMware Security Summit 2022 - セッションレポート

【スーパーセッション】 VMware の次なるセキュリティ戦略

VMware には「VMware Threat Analysis Unit(TAU)」という 100 人を超えるサイバーセキュリティのエキスパート集団が存在します。TAUでは、毎日 1 万 5000 以上の悪意あるファイルやスクリプト脆弱性を検出し、5 万以上の脅威情報をアップデートしながら、VMware のゼロトラスト・セキュリティソリューションを進化させています。2022年5月31日に開催したイベント「VMware Security Summit 2022」では、VMware, Inc セキュリティ事業部 General Manager Kal Deが、TAUの活動から得られた次なるセキュリティ戦略を紹介しました。

Kal De

VMware, Inc
セキュリティ事業部
General Manager

セキュリティ分野でも高い評価を得ているVMwareのXDRのアプローチとは

ゼロトラスト・セキュリティの概念は、信頼の不在を前提としています。ネットワークやインフラには悪意のある者が攻撃の機会を待っており、ゼロトラスト環境に参加するエンティティは、すべての相互作用において信頼性を証明しなければなりません。De は「VMwareのすべての製品は、この基本原則に基づいて作られており、VMwareの一連の製品を組み合わせることで、ゼロトラスト・セキュリティを実現することが可能なのです」と述べました。

VMwareでは、サイバーセキュリティの業界の中でも高い評価を得ています。Fortune100社のうち99社、そして3万社以上がVMware のセキュリティソリューションを利用しています。同時に、世界有数のSD-WAN、ファイアウォールベンダーとして認められています。ネットワーク検知・修正ソリューション(NDR)は、SE Labsから業界唯一のトリプルA評価を獲得しています。サイバーセキュリティはデジタル変革を実現するうえで重要な要素ですので、VMwareは今後も継続的に投資をしていく予定です。

De は、VMwareのセキュリティに対するアプローチは、万人に万能であろうとするものでなく、自分たちが本質的な強みを持つ「ワークロード」「デバイス」「ユーザー」「ネットワーク」のコントロールポイントにフォーカスしているとし、それを念頭に置いたセキュリティ戦略を説明しました。

現在のITインフラとアプリケーションは、従来のデータセンターだけでなく、複数のパブリッククラウド上にも広がっています。VMwareでもワークロードが複数のクラウド上で稼働しているという事実を認識した戦略をとっています。アプリケーション保護においても、仮想マシンベースのアーキテクチャーだけでなく、コンテナ基盤などに向けたさまざまなサービスを提供しています。ワークロードへのアクセス保護は、ユーザーに関するもので、オフィスだけでなく、在宅勤務など世界中のあらゆる場所で働ける環境を支援します。

VMwareのセキュリティでは、インフラ、アプリケーション、ユーザー管理などを統合しています。De は「それぞれの側面から高品質の信号を抽出し、強力な接続点を作り、単一のビューで提供するXDR(エンドポイントやネットワークなど、複数のレイヤーでの検出と応答)製品としてお客様にお届けしたいと考えています。私たちは、セキュリティ・チームを超人的な存在にするように変身させ、次々と襲いかかる複雑な問題に対処できるだけでなく、コスト効率の低い大規模なセキュリティ・チームの雇用という負担をかけずに、実行することができます」と述べました。

XDRを提供しているベンダーはたくさんありますが、XDRの拡張検知・応答機能に必要なコンポーネントがすべて単一のベンダーから提供される場合、導入が容易というメリットはありますが、そのベンダーがすべての責任を負うことは簡単ではありません。新しいXDRを導入する際、これまで投資してきたセキュリティシステムを破棄する事態は避けたいでしょう。ネットワーク製品やセキュリティ製品を含むあらゆるIT機器のログを取得して管理できるSIEMツールとXDRとの間にギャップが生じる場合があり、有効活用するには高度なスキルセットを持つ人材が必要になります。

VMwareのアプローチは異なっており、主要ベンダーの最適な制御を組み組み合わせて使用できます。VMwareでもvRealize Log Insightというログ解析ソリューションを持っていますが、XDRプラットフォームにログ解析を統合するための一つの手段に過ぎません。他の主要ベンダーとXDRスタックに参加するコンポーネントの一例として機能します。ほかのソリューションを使っていても、それらを引き続き活用することができるのです。

VMwareのXDRによって実現するSOCの近代化

続いてDe は、なぜXDRソリューションを検討する必要があるのかを説明しました。De は、「私たちが XDRでやろうとしていることは、EDRとNDRが提供している挙動、検出機能、脅威インテリジェンス、侵入防御などを一緒にして、単一のコンソールにするだけではなく、相関させるということなのです。そうすることで、アラートの洪水の問題をなくし、セキュリティ・オペレーション・センターは、より質の高い情報を得ることができるのです」と述べました。

非営利組織のMITRE社が米国政府、産業界、学術機関と協力してサイバー攻撃の振る舞いをまとめたセキュリティフレームワーク「MITRE ATT&CK」に基づき、VMware NSX Network Detection and Response(NDR)でテストしたところ、ネットワークの可視性において 100%のスコアを獲得し、誤検出はゼロでした。脅威の防止能力を測る「AV-TEST 2020-2021」では、完璧なユーザビリティスコアを獲得しています。

マルチクラウド環境の保護を考えてみましょう。最近の攻撃は巧妙になっており、ランサムウェアによる被害は、データの盗難、認証情報の窃盗といった事態につながります。クラウド上の設定のミスや悪意のある意図的な設定により危険にさらされる場合もあります。さらに、内部犯行の脅威も残念ながら存在します。

「そこで問題なのは、誰が悪者なのかを見分ける方法が必要です。社内の人間かもしれないし、社外の人間かもしれない。VMware Carbon Blackでは高度に差別化する方法でセキュリティを確保できます。従来のEDRの脅威検知インテリジェンスを中心とする機能をVMware vSphereに統合しており、導入と管理を非常に容易にしました。ワークロードは安全に保護された状態でデプロイされるのです」(De)

 続いて、アプリケーションの保護です。VMwareでは、従来個々のコンポーネントとして存在していたものを、ソフトウェアとして定義できるようにしました。この技術を使うことで、APIコールの正当性を一つ一つチェックすることができます。従来データセンターの1つのラックに収まっていたNDRやサンドボックス、ファイアウォール、WAF、IDS/IPSは、セキュリティ機能をすべて境界上に置いてしまうという問題がありました。境界線のみのトラフィックしか見ておらず、境界の中はチェックされないのです。

チェックしようとしても膨大なトラフィックの複雑さに対処が難しいです。そこで、VMware vSphereを活用することで、ワークロードとともにセキュリティ制御を完全にシームレスに動作できるようになりました。Deは「内部ファイアウォールは、20テラバイトのEast-Westトラフィックを処理することができますが、これは他のほとんどのベンダーや他のほとんどのソリューションでは想像もできないことで、ネットワークを変更することなくこれらすべてを行うことができます」と説明しました。

セグメンテーションについても考えてみましょう。ネットワークを細かくセグメントすることは、許容できる境界を定義することです。例えば、Webサーバーはファイルサーバーと通信してはいけません。このように、望ましい状態を定義して、すべてのフローを分析することで侵入を検知し、防止することが期待できます。さらに、正当な認証情報が盗まれた場合の侵入や内部犯行に対処するためには、複数の情報源を関連づけて脅威のパターンを把握する必要があり、NDRの重要性が高まります。

クラウド間でセキュリティポリシーの一貫性を確保するには、新しいワークロードがポリシーを自動的に継承することで実現します。ワークロードをあるゾーンから別のゾーンに移動させると、ポリシーも一緒に移動します。このアプローチは、運用をシンプルにすることができます。De は「従来のファイアウォールでは、何千、何十万というルールができてしまい、そのルールが陳腐化する可能性があります。私たちのアプローチを採用した場合、ほぼ10倍という驚異的なレベルでルールを削減し、その結果、運用コストや管理コストを実現しています」と説明しました。

バックアップや開発環境の保護、SaaSやクラウドへの安全なアクセス環境も提供

ランサムウェアの攻撃など、問題発生からの復旧にはバックアップの仕組みも必要です。バックアップの仕組みは非常にシンプルです。VCDR(VMware Cloud Disaster Recovery)という製品を使って設定したポリシーに従って定期的に自動スナップショットを作成し、万が一の場合の復元をより簡単にします。

モダンなアプリケーションは、これまでとは異なるセキュリティパラダイムを考慮する必要があります。現代のワークロードは短命であるだけでなく、その構築方法には何度も繰り返されるサイクルが含まれています。開発者は常に、アプリケーションを構築、デプロイ、実行し、中間段階の環境では、そのコードをおそらく1日に何度も本番環境に自動的にプッシュしているのです。

しかし、利用しているオープンソースに脆弱性がある場合もあります。Apache Log4jの脆弱性問題は記憶に新しいはずです。繰り返し実行される開発プロセスも安全を保証する必要があります。VMwareでは、開発者がデスクトップ上で構築したイメージが社内のあらゆる環境にデプロイされる前にリアルタイムでスキャンするための自動化や、Kubernetes環境の管理の仕組みも提供します。

ワークスペースのセキュリティには、まずユーザーとそのアイデンティティ、認証・認可といった概念があります。VMwareでは、SaaSおよびその他のクラウド サービスへ、どんな場所のどんな端末からでも安全に利用できるよう、全世界に約150カ所のSASE PoPを設けました。その内部は、SD-WANのゼロトラストネットワークアクセスから始まり、多くのセキュリティコントロール、分散ファイアウォール、そして何か問題が起きたときに自動修復を可能にする機能までそろっています。

De は「これらは非常にパワフルな機能で、遅延の影響を受けやすいワークロードがあれば、サービスをエッジに分散してアプリケーションのパフォーマンスを向上させ、より優れた顧客体験を提供できます」とアピールしました。

VMwareでは、2021年の第4四半期から、SOCパートナーやお客様独自のSOCを補強するマネージド検知対応機能を提供し、好評を得ています。De は2022年の後半には、さらに新しい機能のリリースを控えているとし、最後に次のように締めくくりました。

「世界中のどこからでも、ホノルル、日本、私が住むカリフォルニアからでも、仕事をするようにしたいというのが世界の現実です。従業員は分散していきますので、それを可視化し、SOCに力を与える方法を持たなければなりません。最良の方法は、XDRが実現するエコシステムを利用することです」

この講演のオンデマンド配信


VMware Security Summit 2022

【スーパーセッション】 VMware の次なるセキュリティ戦略

オンデマンド配信を視聴する


TOP