【ノウハウ活用ガイド】VMware Carbon Black

VMware Carbon Black Cloud徹底解説 Workload編 〜仮想環境の脆弱性管理~

Carbon Black Cloud徹底解説 Workload編 〜仮想環境の脆弱性管理~

VMware Carbon Black Cloud徹底解説 Workload編 〜仮想環境の脆弱性管理~

サーバ統合によるコスト削減やリソースの有効活用、柔軟なリソース制御といったメリットから、サーバ仮想化技術は当たり前のように利用されつつあります。このとき忘れてはならないのが、仮想基盤上で動作するさまざまなワークロードの保護です。DXのスピードを落とすことなく、ワークロードのセキュリティを確保するには、どんなアプローチが必要でしょうか。

仮想化基盤活用のサーバ仮想化と、セキュリティへの懸念

デジタルトランスフォーメーション(DX)の推進に当たっては、スピードが鍵を握ります。顧客が求めるサービスをすばやく提供するには、数カ月単位の時間をかけてサイジングを行い、ハードウェアを発注する、従来の調達サイクルでは間に合いません。

そんなときに効果を発揮するのが、「VMware vSphere®」に代表される仮想化基盤を活用したサーバ仮想化です。既存のリソースを統合して有効活用できるというコスト削減の観点はもちろん、ソフトウェアベースで制御を行うことで柔軟にリソースを拡張し、ニーズや市場の変化に素早く対応できることから、JEITAの調査によると2018年時点で企業の6割以上が仮想化技術に取り組んでいます。

ただ、どんなことにもついて回るのがセキュリティへの懸念です。仮想化基盤とその上で動作するワークロードの双方について、これまでの物理サーバと同じように脆弱性対策や保護を講じる必要があります。さもなければ、知らないうちに仮想マシンにコインマイナーのような不正なソフトウェアをインストールされ、ランサムウェアの被害に遭って業務に多大な影響が生じかねません。

問題は、仮想化環境ではリソースを柔軟に制御できるからこそ、管理すべきワークロードの数も動的に増減し、一元的に管理するのが困難なことです。しかもセキュリティ担当としては、長年運用してきた既存のサーバ環境やエンドポイントの保護も考えなければなりません。

エンドポイント向けNGAV/EDR機能をクラウド上のリソースにも提供

可能な限り統一されたプラットフォームで、仮想化基盤上の複数の仮想マシン、ワークロードにまたがる保護を実現できないか――そんなニーズにぴったりなソリューションが「VMware Carbon Black Cloud Workload」です。

もともとCarbon Blackは「EDR」というコンセプトを業界に先駆けて打ち出し、製品化したセキュリティ企業でしたが、2019年にVMwareが買収し、そのポートフォリオに加わっています。それが、次世代アンチウイルス(NGAV)によるエンドポイントの保護とEDRによる脅威の検知・対応を担います。

VMware Carbon Black Cloud Endpointは名前の通りエンドポイントの保護にフォーカスした製品ですが、VMwareが提供する最も広く利用されている仮想化基盤、VMware vSphere上の仮想マシンに同様のセキュリティ対策を提供するのがVMware Carbon Black Cloud Workloadとなります。NGAVによる保護やEDRによるインシデントレスポンスの強化に加え、設定面の不備を指摘するAudit&Remediation(監査と修復)や脆弱性評価の機能も含まれています。

ポイントは、Carbon Blackの管理インターフェースによる管理だけでなく、VMwareが提供するVMware Tools™やVMware vCenter Server®といった、長年オンプレミスの仮想環境の管理に携わってきた担当者が慣れ親しんだインターフェースから、インストールや各種設定、運用管理までが行えることです。セキュリティ担当者はCarbon Blackのインターフェースを通してセキュリティレベルを一定に保ちつつ、インフラ担当者はVMware vCenter Serverでワークロードの脆弱性管理やライフサイクル管理を行えるため、ツールの使い方を学び直す手間は不要です。

VMwareのロードマップによると、今後「VMware Horizon®」で実現したVDI環境や「VMware Workspace ONE®」で管理されるエンドポイントの管理、さらには次世代の基盤として注目を集めるコンテナベースの環境「VMware Tanzu」やネットワーク仮想化を実現する「VMware NSX®」といった、VMwareが持つ幅広いポートフォリオにも、Carbon Blackが提供するセキュリティ機能が連携されていく計画です。つまりこの先守るべきリソースがどのような形を取ろうとも保護していくことができます。

セキュリティ担当者と運用担当者、開発者にまたがる共通言語として活用も

そもそも企業が仮想化技術を利用するのは、コスト削減という利点もありますが、市場の変化、顧客ニーズの変化に素早く追随し、新しいサービスをスピーディに提供するためでしょう。つまり、スピード、アジリティこそが大きな価値です。だからといって拙速に何でもリリースしてしまえばいいというわけではありません。海外では、セキュリティ上の問題があったサービスを公開したばかりに情報漏洩が発生し、経営者が責任を問われる事態になったケースもあります。できる限り事業のスピードを損なわず、それでいて必要十分なセキュリティを満たす、そのバランスをいかに取るかが問われます。

VMware Carbon Black Cloud Workloadは、こうしたジレンマに悩む企業にとっても有効なツールです。というのも、セキュリティ担当者だけでなく、インフラ担当者と共通のプラットフォームとして活用できるからです。これまではセキュリティ担当者とインフラチームとでは利用するツールがバラバラで、セキュリティ担当者が気になる脆弱性の情報と、インフラチームが監視する仮想マシンやリソースの利用状況もそれぞれバラバラに管理され、全体像を把握する術がありませんでした。このため、互いに何をやっているのか、何を必要としているのかも分かりませんでした。

しかしVMware Carbon Black Cloud Workloadでは、VMware vCenter Serverからさまざまなセキュリティに関する情報、脆弱性情報にアクセスできるようになります。互いに共通の言語を得ることで、インフラチームから「こんな脆弱性の一覧がでてきたけれど、どのように対応すればいいだろうか」とセキュリティチームに相談し、安全で安定したサービス基盤を提供していくという1つの目標の下に活動していくことができるでしょう。

最近では、開発者と運用・インフラ担当者が一体となって、ニーズの変化に素早く追随しながらアプリケーションをリリースしていくDevOpsという動きが広がっています。VMware Carbon Black Cloud Workloadのような製品を活用すれば、DevOpsにさらにセキュリティの要素を追加したDevSecOpsを実現し、セキュリティ担当者と運用担当者、開発者が一体となって初めからセキュリティを考慮したサービスを提供する動きを加速できるでしょう。

お問い合わせ・ご相談はこちらから