マイクロセグメンテーションで情報を守る！　どんな脅威にも即時対応の最新セキュリティ対策とは？

もはや入り口対策だけでは情報を守り切れない

　情報システムのセキュリティ対策の重要性が叫ばれるようになってすでに久しい。しかしながら、この課題は解決に向かうどころか、以前にも増して甚大な被害を及ぼすようになり、企業にとって大きな脅威となっているのが現実だ。

　中でも深刻なのが、大量の情報流出である。出版社、旅行会社、放送局、ファッションメーカー、自動車メーカー、プラントメーカー、通信教育など、日本の名だたる企業からも顧客の個人情報や機密情報の漏えいが後を絶たない。

　実際、個人情報を漏えいさせてしまった場合、その企業が支払うことになるコストは、被害者に対するおわび金だけでなく、コールセンターの立ち上げ費用、原因を特定するためのフォレンジック費用、システム改修費など広範囲に広がり、流出1件あたり最低でも5～6万円に上ると言われている。

　では、どうして情報システムへの侵入を許してしまうのかというと、最大の原因となっているのが「標的型攻撃」だ。狙いを定めた組織や人物の関係者になりすましてメールを送る、あるいは日常的に閲覧しているWebサイトを偽装するといった間接的な接触を通じてマルウェアに感染させ、侵入の足掛かりとするのである。

　加えて言うならば、攻撃を仕掛ける相手は、狙いとする情報へのアクセス権限を持っているキーマンでなくてもかまわない。ターゲットとまったく関係のない部署に在籍している一般社員であっても、とにかくその企業の“内側”にさえ入り込むことができれば、そこからマルウェアを拡散していくことができる。

　ネットワールド マーケティング本部 マーケティング1部 VMwareソリューション課の係長である三好哲生氏は、「そうして内側に入り込んだマルウェアの多くは、アンチウイルスソフトでも食い止められず完全になりを潜めたままで、社内のやり取りを通じて人から人（端末から端末）へと感染を広げていくだけにタチが悪いのです」と語る。

　もはや入り口だけの対策では情報を守りきることはできない。独立行政法人情報処理推進機構（IPA）セキュリティセンターでも、高度標的型攻撃対策に向けたシステム設計ガイドにおいて、「侵入を拡大させないための対策、すなわち内部対策が必須」と強く訴えている。

マーケティング本部 企画部（Mobile ＆ SDDC） マーケティング1部 VMwareソリューション課 係長の三好哲生氏

仮想マシン単位にまでセキュリティセグメントを限定すればよい

　では、具体的にどういった内部対策を考えればよいのだろうか。

　現在の多くの企業におけるセキュリティ対策は、ファイアウォールやIDS/IPSなどによって“境界”を構築し、その境界で不正侵入を防ぐことを基本としている。

　しかし、どんな防御も新手の攻撃に対しては後追いになってしまうため、“完璧”を担保するのは不可能だ。そして、先に述べたように、安全であることを前提としている境界の内側にいったん侵入されてしまうと、その内部では端末間での自由なアクセスが可能となり、マルウェアの拡散を見逃してしまうことになる。

　そこで有効な手だてとなるのが、「マイクロセグメンテーション」という考え方である。企業内部にマルウェアが侵入すると、境界の内側にあるすべてのサーバーやPCが脅威にさらされるわけだが、裏を返せば、企業内部のネットワークを可能な限り小さくセグメント化することで、マルウェアの拡散を抑え込むことができる。

　ネットワールド マーケティング本部 マーケティング1部 VMwareソリューション課の柳田淑江氏は、「セグメントをどんどん小さくしていき、セキュリティのセグメントをVM（仮想マシン）単位にまで分割するのが、マイクロセグメンテーションです。マルウェアの拡散を防ぐにはこれを実現することが理想的です」と説明する。

　つまり、万一マルウェアに感染したとしても、1つ1つのセグメントが細かく設定されているため、ほかのVMにまでは広がらないことになる。

　もっとも、頭で理屈は理解できたとしても、素直にうなずくことはできないだろう。VM単位にファイアウォールを導入するとなれば、社内には無数の機器があふれかえってしまう。運用管理の手間やコストも、限りなく増大していくことになる。

マーケティング本部 マーケティング1部 VMwareソリューション課の柳田淑江氏

VMのグループごとにポリシーを設定しシンプルな運用を実現

　そこに登場したのが、VMware NSXという画期的なソリューションだ。VMware NSXを平たく言えば、スイッチ、ルータ、ファイアウォール、ロードバランサーなどのネットワークリソースを仮想化してソフトウェアで制御できるようにする、ネットワーク仮想化製品である。

　これを利用することにより、ソフトウェアで実装されたファイアウォールを個々のVMに配置でき、マイクロセグメンテーションを容易に実現できるというわけだ。「すでにVMware vSphere 5.5以降を導入済みのお客さまは、その仮想化基盤にアドオンする形で簡単にVMware NSXを導入していただけます。新たな機器をネットワークに追加する必要はなく、既存の利用環境に変更を強いることは一切ありません」と三好氏は強調する。

　しかも、各マイクロセグメンテーションは、管理コンソールのvCenter with NSX Managerを通して一元管理することが可能。「VM単位はもちろん、部門やプロジェクト、担当業務、役職といったグループごとに動的なセキュリティポリシーを設定し、シンプルな運用を実現することができます」と柳田氏は語る。

VDIとの“合わせ技”で仮想デスクトップを包括的に防御

　そして、このVMware NSXのメリットを最大限に発揮するのが、VDI（仮想デスクトップ）環境を実現するHorizon Viewとの連携である。

　もともとVDI環境を導入する企業には、「端末側にデータを残さないシンクライアントを実現できる」といった、セキュリティ対策を狙いとしているケースが非常に多い。そこに合わせ技としてVMware NSXを導入することで、クライアントPCを単位に、ソフトウェアで実装されたファイアウォールを配置し、より安全なデスクトップ環境を実現できるのだ。

　先述のセキュリティポリシー設定に基づいて、グループ間またはグループ内の仮想デスクトップ同士の通信をユーザー名やVM名に基づいてわかりやすくブロックしたり、不審な挙動を起こしている仮想デスクトップを検疫したりすることができる。

いったん企業の内部に侵入されてしまうと、同一セグメント内で検知するのは難しい。しかしマイクロセグメンテーションを利用すれば、被害の拡大を防止できる

　さらにVMware NSX上では、トレンドマイクロのDeep Security 9.5によるマルウェアからの保護や、Rapid7社のnexposeを利用した脆弱性管理など、さまざまなエコパートナーによるセキュリティソリューションも必要に応じて導入し、活用することができる。

　「基本的にはどのような攻撃もデスクトップの感染を通して他へ広がっていきます。NSXを導入することでその拡大を未然に防ぎ、規模の大小を問わずVDI環境をトータルに守ることができます」と柳田氏。「同じようなセキュリティ対策を、例えばVLANなどの仕組みを使って実現しようとしても、柔軟なポリシー設定ができなかったり、VLAN数の上限があったりするため相当な困難に直面します。現実解となり得るのは、今のところVMware NSXのみです」と三好氏も強調する。

セキュリティベンダーなど、さまざまなエコパートナーのソリューションを必要に応じて導入できる点もVMware NSXの強みという

　ネットワールドではヴイエムウェアとの緊密なパートナーシップのもと、VMware NSXの検証に先行して取り組んでおり、すでに豊富な導入・運用の実績を蓄積している。そのノウハウを取引先の多くの販社にも共有すべく、実機を用いたSE向けの「VMware NSXハンズオントレーニング」や、座学と演習を組み合わせたSE・プリセールス向けの「VMware NSX体験セミナー」といったコースを、各地域の主要都市で開催しており、VMware NSXの積極的な拡販を進めていく意気込みだ。今後、セキュリティ対策の新たなスタンダードとしてVMware NSXの導入が加速していくのが楽しみだ。