ヴイエムウェア、ゼロトラストをコアにしたセキュリティ戦略を発表　「VMware Cloud Web Security」もGAに

マルチクラウドのゼロトラスト化を進める2つのソリューション

　では、マルチクラウドとデジタルワークスペースのそれぞれでどのようなアプローチを取っているのか。まずマルチクラウドに関しては、「VMware NSX-T」と「VMware Carbon Black」が主なソリューションとなる。

　NSX-Tには、分散ファイアウォール機能によるマイクロセグメンテーション（リスクの低減）、シグネチャベースの分散IDS/IPS（リスクの可視化、既知の脅威の防御）、サンドボックスによる高度なマルチウェア検知（リスクの特定）といった強力なセキュリティ機能がビルトインされており、さらに侵入の検知から復旧までを支援するエンドポイントセキュリティ（EDR：Endpoint Detection and Response）製品のCarbon Blackと連携させることで、マルチクラウドのセキュリティを常時チェックする強力なXDR（eXtended Detection ＆ Response：エンドポイントからクラウドまで範囲を広げて脅威を検出するアプローチ）を実現することが可能になる。

　これまでのマルチクラウドセキュリティはデータセンターなどの出入り口を境界線として対策する“ノース-サウス型”が一般的だったが、NSX-TとCarbon Blackを組み合わせることで“イースト-ウエスト型”の対策、つまり設定や権限の変更を最小限にとどめながら、データセンター内に侵入したマルウェア（未知の脅威含む）にも対応できるようになる。また、守るべきリソース（ワークロード、エンドポイント）が増えた場合でも、リニアにセキュリティを拡張できる点もVMwareのマルチクラウドソリューションの特徴といえる。

　マルチクラウドと並んで、多くの企業が頭を悩ますのがデジタルワークスペースのセキュリティだ。コロナ禍により加速した“Anywhere Workspace”だが、同時に攻撃を受ける可能性も高くなってしまったことも事実だ。VMwareではデジタルワークスペースのゼロトラスト化を進める上で重要なポイントとして「エンドポイント（従業員の作業環境）を信頼しすぎないこと」を挙げる。

　リモートワーク中の従業員が利用するエンドポイントのセキュリティは、オフィスとは比較にならないくらい脆弱であることが多い。もしリモートのエンドポイントから侵入されたら、攻撃者が社内のあらゆるリソースに自由にアクセスできてしまう可能性も十分にある。

　こうした事態を防ぐため、VMwareは

・場所を問わずに働けるデジタルスペース：VMware Workspace ONE・デジタルスペースへのゼロトラストセキュリティのワンストップ提供：VMware SASE・エンドポイントの検証：VMware Carbon Black

という3つの対策を同時に実施することを推奨している。

　この中でも重要なソリューションとなるのが、リスクの可視化と特定を容易にする「VMware SASE（Secure Access Service Edge）」だ。ゼロトラストと同様にSASEもここ1、2年の間に耳にする機会が増えたセキュリティキーワードだが、エンドポイントのロケーションを問わずにセキュアなネットワークアクセスをエッジから提供することを実現するためのフレームワークであり、各社から製品化されたサービスがリリースされている。

　VMware SASEには、

・ VMware Edge Network Intelligence： エンドユーザーやIoTクライアントのパフォーマンス/セキュリティ/自己修復機能をSASEにより提供するベンダー非依存のAIOpsソリューション・ VMware SD-WAN： 安全なブランチオフィス接続を可能にするSD-WANソリューション（旧VeloCloud）・ VMware Secure Access： Workspace ONEユーザーに一貫性のあるセキュアなクラウドアプリケーションアクセスを提供するソリューション・ VMware Cloud Web Security： SaaSおよびインターネットアプリケーションにアクセスするユーザーやエンドポイントを脅威から保護し、可視性、制御、およびコンプライアンスを提供するクラウドホスト型サービスのセキュリティゲートウェイ

　という4つのコンポーネントが含まれており、日本では6月25日からVMware Cloud Web Security（CWS）の一般提供が開始されている。

　VMwareは同社のクラウドサービスを展開する拠点として、世界中に約130の拠点（PoP: Point of Presence）を持つが、今回のCWSのGAにあわせ、東京のPoPも利用可能となった。デジタルワークスペース化の普及に伴い、リモートワーク中の従業員がインターネット経由で企業側が把握していないSaaSを利用したり、許可されていないWebサイトにアクセスする機会が増えたが、CWSを経由することでユーザーとエンドポイントの迅速で動的な保護が容易になる。

　SASE（CSW）とともに、多要素認証やデバイスポスチャでデジタルワークスペースのリスクを低減し、可視化するWorkspace ONEや、膨大なデータとナレッジをもとにAIで脅威情報を分析し、リスクスコアを判定するCarbon Blackを適用することで、スケールするワークスペースのゼロトラストセキュリティ化は大きく進むことになる。