「NSX Firewall with Advanced Threat Prevention」とは?~AIを活用したトラフィック分析~
複雑化・高度化したサイバー攻撃に対する新たな考え方と対策
企業のセキュリティ対策は長い間、内部の企業システムと外部のインターネットの「境界」、そして業務で使用するPCなどの「エンドポイント」の2つを中心として行われてきました。ところが、最近ではサイバー攻撃の手法も複雑化、高度化し、この2つの防御だけでは不十分となったことで、新たな考え方と対策が必要とされてきています。
長年にわたって企業のセキュリティ対策は、インターネットから直接やってくるサイバー攻撃にどう備えるかという観点で、主に企業システムとインターネットの「境界」、それから従業員が医療するPCなどの「エンドポイント」で実施されてきました。しかしこの数年、それだけでは対処しきれない手口が広く使われるようになっています。
典型的な例が高度な標的型攻撃です。知り合いや取引先を装って送られるメールの添付ファイルを開くことで遠隔操作型のマルウェアを感染させ、社員が利用している端末を介して社内システムを探索し、より高い権限を持つ管理者のPCを乗っ取ったり、機密情報を入手したりします。最近では、サイバー犯罪者が金銭目的で仕掛けるランサムウェアにも、こうした手口が用いられ始め、少なくない企業に多大なダメージを与えています。
ネットワークの入り口でシグネチャ(定義ファイル)を用い、「悪いものはないか」という観点でチェックを行う従来型の対策だけで、こうした高度な攻撃を防ぐのは困難です。特に、境界防御やエンドポイントの保護といった最初の壁を突破されて内側に入り込まれてしまった後は、極端な言い方をすると攻撃者の「やりたい放題」になってしまい、ラテラルムーブメント(横展開)と呼ばれる動きで次々と侵害/被害範囲を広げられてしまいます。
その上、こうしたリスクは新型コロナウイルス対策として広がったテレワーク環境では、さらに無視できないものになっています。
リモートワークを行う以上、社員が自宅で利用する端末と企業システムとは何らかの形でつながざるを得ませんし、かつてはオンプレミスが前提だった業務アプリケーションの一部を、SaaSなどのクラウドサービスで代替し始めているでしょう。かつてははっきり分けられていた、企業の内部と外部の区切りがあいまいになり、あちこちに広がっている状態です。
こうした課題を踏まえると、物理的な場所や機器にとらわれることなく、また例え内部の端末であっても無条件に信用することなくセキュリティ対策を実施する必要があります。これは「信頼をゼロから構築する」というゼロトラストセキュリティの考え方にも通じるものです。
進化を続けるVMware NSX-Tに加わった「Advanced Threat Prevention」
こうした課題を見越したていたかのようにVMwareが発表したソリューションが「VMware NSX Advanced Threat Prevention」です。
すでにご存じの方も多いでしょうが、VMware NSXは、ルーターやスイッチといったネットワーク機能に加え、ファイアウォールやIDS/IPSなどのセキュリティ機能をソフトウェアベースで提供するソリューションです。物理的に機器を買い足したりすることなく、仮想的に、柔軟に機能を変更したり拡張することができます。
また、従来の「NSX Data Center for vSphere(NSX-V)」ではVMware vSphereを前提としていましたが、NSX-T Data Center (NSX-T)は、VMware環境だけでなく、KVM、Kubernetesをはじめとするコンテナ、AWSやAzureといったパブリッククラウド環境、ベアメタルサーバにも対応した、真の意味でのネットワークハイパーバイザーとなり、進化を続けています。
NSXソリューションでは、分散型ファイアウォールを実現する「NSX-T Distributed Firewall」、分散型でシグネチャベースのIDS/IPSを実現する「NSX Distributed IDS/IPS」や、負荷分散を実現する「NSX Advanced Load Balancer」などが提供されてきました。
そして2020年10月に発表したNSX-T 3.1で新たに加わったのが、VMware NSX Advanced Threat Preventionです。VMwareが2020年6月に買収したLastlineのサンドボックスによる高度なマルウェア検知機能と、AIを活用したネットワークトラフィック分析(NTA)機能を分散型ファイアウォールと統合することによって、セキュリティ対策をさらに強化します。
既存対策の弱点を補い、横展開や未知のマルウェアへの対策を実現
VMware NSX Advanced Threat Preventionが提供する機能は多様で、なかなか「これ」と一言にまとめるのは難しいのですが、要は既存のセキュリティ対策だけでは対応が困難だったさまざまな脅威を可視化し、検知し、対応できるよう支援するソリューションと言えます。
例えば、既存のシグネチャベースのウイルス対策製品やIDS/IPSでは、既知のマルウェアや攻撃は防御できますが、少し手を加えた未知のマルウェアや無害に見せかけたフィッシング攻撃などは検知が困難でした。こうして境界防御をすり抜けた脅威が社内システムで活動し、さまざまな害をなす恐れがあることは前述の通りです。これに対しVMware NSX Advanced Threat Preventionは、教師あり機械学習モデルを利用したサンドボックス技術を用いてネットワークを通過するコンテンツを精査し、未知の脆弱性を突く新たな攻撃も含め、悪意あるものを見つけ出します。
また、これまでの仕組みでは、ひとたび境界防御の認証を通ってしまえばその後の行動は野放しでした。しかし前述の通り、企業の内と外を分ける境界が曖昧になり、テレワークが広がった今の時代、それだけでは全く不十分です。例えば、フィッシング詐欺や総当たり攻撃によってIDとパスワードを盗み取られ、なりすましアクセスによってリモートアクセスされてしまった場合、それを見抜く術はありません。アクセスコントロールリストに記載されたIPアドレスベースで通信の許可/ブロックを行うファイアウォールだけでも、対応は困難です。
しかしVMware NSX Advanced Threat PreventionのNTA(Network Traffic Analysis)やNDR(Network Detection and Response)機能は、そうした弱点をうまく補ってくれます。ここでもやはり機械学習を活用し、通常のネットワークの「あるべき姿」を学習することで、そこから逸脱した異常なアクティビティや悪意ある振る舞いを見つけ、警告してくれます。サイバー攻撃者が誰かになりすまして社内を探索したり、大量の機密情報をダウンロードしようとしたりするような動きを捕捉してくれるのです。
皆さんの中には、この手の検知の仕組みを導入したものの大量のアラートに振り回され、あれこれ調べたら「過検知」に過ぎず、作業負荷だけが増えてしまった――という経験のある方もいるでしょう。
その点VMware NSX Advanced Threat Preventionは、相関分析エンジンを活用し、大量のイベントデータやログデータをフィルタリングする機能を備えています。これにより過検知や誤検知を排除し、本当に専念すべきタスクや真にリスクの高い脅威への対処にリソースを割けるようにしてくれます。
ニューノーマルの中で、これまでのセキュリティ対策の限界を薄々感じている方も多いと思いますが、そんな場合にぜひ、VMware NSX Advanced Threat Preventionも含めたNSX Securityソリューションによるセキュリティ対策の根本的な見直しを進めてみてはいかがでしょうか。