働き方やアプリケーションの多様化、高度化するセキュリティの脅威によりゼロトラストの考え方を検討することがセキュリティ対策を考える上で必要となるケースが増えてきています。しかし、ゼロトラストをセキュリティ対策として実装するには、広範な対策を検討する必要となるなど、特有の難しさも存在します。ゼロトラストの考え方をセキュリティ対策として、シンプルかつ効果的に実装するにはどうしたら良いか、またどこから着手すべきか、ヴイエムウェア株式会社 戦略ビジネス推進室 ビジネスソリューションストラテジストの一條 敦が解説します。
一條 敦
ヴイエムウェア株式会社
戦略ビジネス推進室
ビジネスソリューションストラテジスト
目次
ゼロトラストにおける課題
ゼロトラストとは、シンプルな言い方をすれば、いわゆる境界型セキュリティ対策に頼り切らずに、不正なアクセスや侵入といったセキュリティインシデントが場所を問わず発生してしまうことを前提にして、セキュリティ対策を行うという考え方です。具体的には、あらゆるアクセスを信頼せず、その都度認証を行うとともに、アクセス権は必要最小限の付与に留め、対象となるリソースへのアクセスを制限するというモデルです。ゼロトラストを実装する際は、以下の3つのポイントを考慮する必要があります。
(1)守るべき領域が広いこと
従業員は自宅やオフィス、外出先など様々な拠点から、様々なデバイスを通して、クラウドやデータセンター上に存在する、様々なアプリケーションとデータにアクセスします。そのためゼロトラストでは、広範な領域を網羅する対策が必要になります。具体的には、データセンターやクラウドにおけるサーバ/ワークロード・アプリケーション・データの制御、エンドポイントにおけるユーザーとデバイスの制御、そしてネットワークの保護です。
(2)ピンポイント対策が難しいこと
これらのどこかのレイヤーで漏れが生じれば、悪意のあるアクセスや、攻撃者の横展開を許すことになり、従来の境界型セキュリティと同様のリスクを抱えることになります。つまり一部の制御ポイントに、ピンポイントで対策を導入しても、ゼロトラストの考え方を実装したセキュリティ対策の実現には繋がりません。
(3)運用の複雑性やサイロ化
網羅性を高めたとしても、各レイヤーでバラバラに対策をしてしまうと、運用の複雑化やサイロ化を招いてしまいがちです。具体的には、サーバ管理者、デバイス管理者、ネットワーク管理者が、それぞれ独自に対策をしているようなケースです。ゼロトラストを実装するには、各制御ポイントや担当チーム間の連携と、運用の一貫性に注意を払う必要があります。
このような広範性が求められることから、ゼロトラストの実装には、一定の難しさが伴います。どこから着手すれば良いのか、小規模な組織でも対応できるのか、また限られた予算内でどこまで実装すれば良いのか、多くの担当者が悩んでいるのも事実です。スモールスタートするとしたら、どのような方法が効果的なのでしょうか。
VMwareのゼロトラストへのアプローチ
VMwareの強みは、ワークロード、ネットワーク、エンドポイントを網羅する、一貫性のあるプラットフォームを展開していることです。それぞれのプラットフォームには、あらかじめセキュリティ機能が備わっているので、各レイヤーのセキュリティ機能が連携することで、自動化による運用負荷の軽減や、セキュリティ担当者間の連携を実現します。またハイパーバイザーレベルでのセキュリティを実現しているので、OSの脆弱性をついた攻撃などに対しても効果的に対処できます。また既にVMware vSphere環境を導入している場合、既存のネットワーク環境を大きく変更することなく、ゼロトラストの考え方を実現できます。
さらに、VMwareは、それぞれのレイヤーごとに、以下のようなセキュリティソリューションを提供しています。
(1) サーバ /ワークロード
VMware vSphereとVMware NSX Securityがハイパーバイザーレベルで連携し、プラットフォームに組み込まれたセキュリティ機能を提供します。具体的には、仮想マシン単位でのマイクロセグメンテーションにより、サーバ/ワークロード単位での細やかなアクセス制御や攻撃の横展開の防止を実現します。さらに分散IDS/IPS(侵入検知・防御)やサンドボックス、NDR(Network Detection And Response)も提供します。またサーバ上で稼働する仮想マシンなどのワークロードに対しては、VMware Carbon Black Cloud Workloadが、脆弱性管理やワークロードに対するEDR(Endpoint Detection and Response)による包括的な保護を提供します。さらにコンテナアプリケーションについても、VMware TanzuやVMware Carbon Black Containerがセキュリティ機能を提供します。
(2) ネットワーク
VMware SASEは、インターネットとWANを包括した、品質の高いネットワークとゼロトラストにおけるネットワークセキュリティの機能を同時に提供します。VMware SASEには、WAN接続を仮想化しアプリケーションの細やかな通信制御を行うことができるVMware SD-WAN、フィルタリングやSaaSの監視を行うVMware Cloud Web Security、VMware Workspace ONEと連携してアクセス制御を行うVMware Secure Accessなどが含まれます。
(3) エンドポイント
VMware Workspace ONEは、デバイス管理やゼロトラストの考え方に沿ったユーザー認証(条件付きアクセス)を行います。またVMware Carbon Black Cloudは、プロセスの振る舞いに注目した検知に基づくNGAV(次世代アンチウイルス)や、侵入されたデバイスを検知・隔離・調査・復旧できるEDRを提供します。
VMwareのセキュリティソリューションは、これら3つのレイヤーを単一ベンダーとして提供することにより、シンプルで、スマートなゼロトラストを実現することが出来ます。
どこからゼロトラストを始めるべきか
しかし先に述べた通り、すべてのセキュリティ対策を一気に実装するのは、現実的には難しいケースが多いでしょう。そのような場合、まず侵入経路となるエンドポイントの保護から着手するのがおすすめです。そこで重要になるのが、EDRとNGAVです。
セキュリティインシデントが発生した際に、多くの企業で問題となるのが、ログ取得が不十分であることです。そのため、どのデバイスが不審な挙動をしているのか、侵入の発生箇所、攻撃の経路、被害の全容を把握するのに支障をきたすケースが多く報告されています。つまりログの取得は、インシデント発生後の対策だけでなく、素早い対処と復旧のためにも重要な役割を担います。EDRは、まるで監視カメラのように、エンドポイントのあらゆるイベントログを記録し、インシデント時に何が起きたか、巻き戻して確認することができます。
またエンドポイントへの攻撃はますます高度になり、ファイルレス攻撃やOSの標準ツールを悪用した攻撃などの攻撃が増えています。従来のアンチウイルスソフトのように、ウイルスファイルの特徴を元にしたシグネチャー検知では、このような攻撃に対処できません。一方NGAVは、PCの挙動を監視することで、悪質な振る舞いをするマルウェアを検知し、迅速にブロックすることができます。
VMware Carbon Black Cloudは、このEDRとNGAVの両者の機能を提供するエンドポイント保護ソリューションです。VMware Carbon Black Cloudはクラウドサービスなので、構築・運用管理の手間が不要であり、エージェントを導入すればすぐにEDRとNGAVを活用できます。VMware Carbon Black Cloudは、侵入を前提としたセキュリティ対策の第一歩として、おすすめのソリューションです。またVMware Carbon Black Cloudは、全世界のユーザーの脅威データを元にした、機械学習による精度の高い検知や、エキスパートによる脅威インテリジェンスなど、VMwareだから提供できる優れた機能を活用できます。加えて、Live Query機能により、柔軟な条件指定の下で、エンドポイントの情報収集や分析をリアルタイムで行うことが可能です。
そこから、真のゼロトラストに発展させるためには、ユーザー認証やアクセス制御の整備も欠かせません。例えばVMware Workspace ONEでは、VMware Carbon Black Cloudを連携させることで、端末がマルウェアに感染しているかどうかなどのデバイスの状態を考慮した、ユーザー認証やアクセス制御が可能になります。このようにVMwareのプラットフォームの強みは、各ソリューションの網羅性と連携性の高さにより、セキュリティ対策のステップアップが容易に行えることです。今後もVMwareは、総合力と一貫性を兼ね備えたテクノロジーを生かし、お客様のゼロトラストの実現に貢献します。