VMware SASE超入門編⑤
統合エンドポイント管理を実現する「VMware Workspace ONE」とは？

VMwareでは、複数のクラウドサービスを連携させることで、ゼロトラストセキュリティを最短距離で実現できるセキュリティソリューションの「VMware SASE」を提供しています。

VMware SASEにおいて、「VMware SD-WAN」と共に非常に重要な役割を果たしているコアテクノロジーが「VMware Workspace ONE」です。「VMware Secure Access」のベースとして多様なデバイスからの安全なリモートアクセスの機能を提供するほか、自宅や外出先で仕事をしているユーザーに対して快適な操作性を提供することで一人ひとりの業務生産性を高める総合エンドポイント管理のソリューションとなっています。

VMware Workspace ONEの基本機能

VMware Workspace ONEは次のような機能を提供し、VMware SASEにおいてゼロトラストネットワークアクセスを実現しています。

VMware Workspace ONE UEM

VMware Workspace ONE UEMは単一の管理コンソールから、デスクトップ（Windows 10、macOS、Chrome OS）やモバイル（Android、iOS）など、あらゆるユーザーとデバイスに対する統合エンドポイント管理を実現します。

VMware Workspace ONE UEMのWorkspace ONE Tunnelは、通常のIPsecベースのVPNと異なるアプリケーションベースのVPNを採用しており、トラフィックをきめ細かく制御することが可能です。これがVMware SASEのVMware Secure Accessサービスが提供するリモートアクセスのベースとなっています。

また、各ユーザーのデバイスをMDM（モバイルデバイス管理）の管理下に置くことができます。これにより利用を認めたアプリケーションのみを配信するほか、デバイスを社外で紛失した際にリモートからロックをかけたり、データを強制削除したりといった対処を行うことも可能です。このように物理的なデバイスのセキュリティリスク回避まで含めたゼロトラストアーキテクチャーをVMware Workspace ONE UEMで実現していることが、他社のSASEソリューションにはないVMware SASEならではの強みとなっています。

さらにWorkspace ONE Intelligent Hubにより、各種SaaSを含めたあらゆるアプリケーションに対して、シングル サインオン（SSO）が可能な統合セルフサービスアプリケーションカタログを提供します。

VMware Workspace ONE Access

Active Directory、ADFS（Active Directory Federation Services）、AAD（Azure Active Directory）、Okta、Pingなどとの連携によりユーザー認証を行います。また、前述のVMware Workspace ONE Intelligent Hubに直接統合されたパスワードレスの多要素認証機能により、セキュリティ侵害のリスクを低減します。

さらにVMware Workspace ONE UEMとのデバイスコンプライアンス情報連携により、リモートアクセスしてくるデバイスに対して証明書認証を行うほか、社内のセキュリティポリシーを順守しているかどうかを確認し、接続の可否を決定します。

VMware Workspace ONE Intelligence

いわゆるSIEM（Security Information and Event Management）に該当するサービスとしてセキュリティに関する多岐にわたる情報を収集・統合し、必要なアクションを促します。

具体的にはエンドポイント分析や脆弱性分析、認証分析、アプリケーション分析、脅威分析などから得られたすべての結果を集計してAIによる機械学習や相関分析を行い、有益なインサイト（洞察）を取得します。

さらに自動化を見据えたダッシュボード上での可視化やレポーティング、実行すべきアクションの提示、アラートの通知、スクアリングなどのアウトプットを行うことでセキュリティレベルを高めることができます。

VMware Workspace ONEと「VMware Carbon Black」の連携

VMwareでは、NGVA（Next Generation Anti-Virus）やEDR（Endpoint Detection and Response）といったセキュリティ機能を兼ね備えたクラウドネイティブのエンドポイント保護プラットフォームとしてVMware Carbon Black Cloudを提供しています。

VMware Workspace ONE IntelligenceとこのVMware Carbon Black Cloudを連携させることで、セキュリティ対策のアクションを自動化することができます。例えばVMware Carbon Black Cloudがマルウェアを検知した際に、そのデバイスからのリモートアクセスを即座に切断し、自動隔離を行うことが可能です。

VMware SASEの機能強化の方針

VMware SASEは現在的なネットワーク&セキュリティへの変革を実現すべく、4つの方針に基づいて機能強化が進められています。

１つめは「クラウドファースト」。企業システムのマルチクラウド化を支える最適なネットワーク環境をVMWare SASEから提供します。

２つめは「アプリケーションレスポンスの確保」。安全に接続できるだけではなく、あらゆる場所からリモートで快適に業務を遂行するためのレスポンスを確保することにも注力しています。VMware SD-WANによる通信の最適化や複数回線を束ねた帯域の拡大といった技術をさらに強化していきます。

３つめは「本質的なセキュリティ」。VMware SASEはすべてのユーザートラフィックの中継網となるため、外部に抜けていく通信はもとより内部向け通信に対してもファイアウォールやIPS、サンドボックスなどの機能を提供。将来的にはNDR（Network Detection and Response：ネットワークにおける検知と対応）などの技術も実装していくことが検討されています。

４つめは「シンプルな運用」。VMware SASEの豊富な機能を運用の容易なシングルコンソールで提供します。これによりVMware SASEのスモールスタートでの導入と活用を実現するとともに、IT管理者の作業負荷を軽減します。