〈ネットワールドSE解説!〉ゼロトラストセキュリティの実現方法とは?(後編)
ゼロトラスト セキュリティで最も重視するのは、「デバイスの信頼」「ユーザーの信頼」「アプリケーションの信頼」「通信とセッションの信頼」「データの信頼」の5つです。後編ではこの5つの信頼をさらに深く掘り下げていきます。引き続き、株式会社ネットワールド SI技術本部 ソリューションアーキテクト課の工藤真臣氏が解説します。
本ページでは、前回解説した〈ネットワールドSE解説!〉ゼロトラストセキュリティの実現方法とは?(前編)の続きを解説致します。
株式会社ネットワールド
SI技術本部ソリューションアーキテクト
課長 工藤真臣
Agenda
・テレワーク環境下のセキュリティ強化するVMwareソリューション
・VMware Workspace ONEとは?
・VMware Horizonとは?
・VMware Carbon Black Cloudとは?
デバイスの信頼性の確保
VMwareソリューションで信頼性を提供
VMwareソリューションによってデバイスの信頼性を確保するために、デバイスの管理、デバイスのコンプライアンスチェック、デバイスのリアルタイムの脅威検出を提供します。
- デバイスの管理:Workspace ONE UEM
- デバイスのコンプライアンスチェック:Workspace ONE UEM、Workspace ONE Access、Workspace ONE Intelligence
- デバイスのリアルタイムの脅威検出:VMware Carbon Black Cloud、Workspace ONE Intelligence
デバイス管理
対象のデバイスをWorkspace ONE UEM管理下に加入処理することで、業務データや業務アプリに対してIT部門が設定したポリシーを適用することが可能になります。
これによりデバイスごとに
「スクリーンショットを撮ることはできるがカメラ機能は使わせない」
「特定のアプリケーションしか使わせない」
など、ガバナンスを効かせることやデバイスをで紛失・盗難被害を受けた場合にリモートワイプすることもできます。
デバイスの管理
デバイスのコンプライアンスチェック
Workspace ONE UEMにより、各デバイスが自社のコンプライアンスに違反していないか、常時1台ごとにチェックを行い管理者に報告します。
例えば、コンプライアンスに違反しているデバイスを検出した場合、まずユーザーに通知(警告)、それでも改善されなければ業務アプリをブロックし、最終的に業務データを強制的にワイプするといった段階的なアクションを実行することが可能です。
デバイス コンプライアンスチェック

ユーザーの信頼
ユーザーの信頼性の確保
次のVMwareソリューションによって、多要素認証、条件付きアクセス、パスワードレスユーザー認証を提供しユーザーの信頼性を確保を提供致します。
- 多要素認証:Workspace ONE Access
- 条件付きアクセス:Workspace ONE Access、Workspace ONE UEM
- パスワードレスユーザー認証:Workspace ONE Access、Workspace ONE UEM
多要素認証
Workspace ONE Accessは多要素認証において、Workspace ONE Verifyにより以下3点の認証方式をサポートを提供します。
①モバイルアプリへプッシュ通知を行うものです。ユーザーはワンクリックで認証を行うことができる最も手軽な方法です。
②時間ベースのトークンを利用するものです。モバイルアプリに表示されたトークンを決められた時間内に入力することで認証が行われます。
③つめはSMSのパスコードを利用するものです。本人のモバイルデバイスにSMSで送られてくるパスコードを入力することで認証が行われます。
Workspace ONE® Verifyの3つの認証方法

条件付きアクセス
ユーザーに対して、接続元のネットワーク、OSやアプリ、また接続してきたユーザーのグループと紐づけて管理し、条件付きでアクセスを制御することができます。
例えば社内のサブネットからアクセスしてきたユーザーに対しては、ネットワークにログインできている時点で本人認証がすでに終えていると判断しアクセスを許可します。
一方で社外からアクセスしてくるユーザーに対しては、必ず2要素認証を要求するなどの条件を設定することが可能になります。
社内からアクセスを制御する条件付きアクセス

アプリケーションの信頼
アプリケーションの信頼性の確保
次のVMwareソリューションによって、アプリケーションの信頼性を確保するために必要な要素として、シングルサインオン、どんなデバイスからでもアプリケーションにアクセス可能にします。
- シングルサインオン:Workspace ONE Access、Workspace ONE UEM
- どんなデバイスからでもアプリケーションにアクセス可能な環境:VMware Horizon
シングルサインオン
Workspace ONE Accessによって認証を受け、アプリケーションカタログにログインすれば、その先のSaaSやDaaS、企業内アプリなどにパスワードを再度入力せずにアクセスが可能です。
SAMLやOpen IDなど、シングルサインオンを実現する様々な認証方法をサポートし、セキュリティとユーザーの利便性の両立を提供します。
シングルサインオン

Workspace ONE Tunnelの併用
テレワークの増加に伴いZoomやMicrosoft TeamsなどWeb会議の利用が拡大していますが、そのビデオ・音声データをVPNで流すと帯域がひっ迫する要因の1つとなってしまいます。
Workspace ONE UEMのWorkspace ONE Tunnelは、通常のIPsecベースのVPNと異なりアプリケーションベースのVPNを採用しており、きめ細かい制御が可能です。そのため、Web会議へのアクセスをバイパスすることで、VPNのひっ迫を解消することができます。さらに、Workspace ONE Tunnelは、業務で利用するクラウドサービスやデータへの安全なアクセスを提供する一方で、YouTubeなど業務中の利用を認めていないクラウドサービスをブロックすることができます。最近ではSD-WAN製品を使って拠点単位でローカルブレイクアウトと呼ばれるアプリケーション単位のWAN接続先の制御をエンドポイントで行うことを可能にします。
WorkspaceONE Tunnelの効果

通信とセッションの信頼とデータの信頼
通信とセッションの信頼性
次のVMwareソリューションによって、通信とセッションの信頼性を確保するために必要な要素である「最小特権でのアクセス」と「通信プロセスの暗号化」を提供します。
最小特権でのアクセス:VMware NSX-T Data Center
通信プロセスの暗号化:Unified Access Gateway、VMware Horizon
また、VMware Horizonにより、データの信頼を実現するために必要な要素として保存データの保護を提供します。
マイクロセグメンテーションとデータ保護
最小特権でのアクセスはVMware NSXの機能である分散ファイアウォールを活用し、仮想マシン単位のマイクロセグメンテーションを行うことで、マルウェアの拡散を防止することが可能です。
またデータの信頼性の確保においては、VMware Horizonを活用することでデスクトップやアプリケーションを仮想化し、デバイスに対して画面転送のみを行うことで、データを社外に持ち出せない環境を作ることが可能になります。
セキュリティの可視化と分析、自動化
セキュリティの可視化と分析/自動化に必要な要素
次のVMwareソリューションにより、セキュリティの可視化と分析/自動化を実現するために必要な下記機能を提供します。
- ログの集約:Workspace ONE Intelligence
- 監視・トラブルシューティング用のダッシュボード:Workspace ONE Intelligence
- デバイコンプライアンスエンジン:Workspace ONE UEM、Workspace ONE Intelligence
- 外部サービスとの連携:Workspace ONE Intelligence
Workspace ONE Intelligence 活用メリット
Workspace ONE Intelligenceを利用すれば、従来WSUS(Windows Server Update Services)を使用し管理を行っていたOSアップデートの適用状況などをダッシュボード上で確認することが可能になります。
他のVMware Workspace ONE製品やサードパーティサービスとの連携状況、セキュリティリスクもダッシュボード上に可視化。さらに、カスタマイズ可能なレポート機能により、統合的なレポート出力も提供します。
Workspace ONE Intelligence のダッシュボード

VMware Workspace ONE 製品やサードパーティサービスとの連携
セキュリティリスクの可視化

VMware Carbon Blackとの連携
VMware Workspace ONEとVMware Carbon Blackを連携させた運用をすることで、セキュリティ対策の自動化も可能になります。
デバイスがマルウェア感染していることを検知した場合、VMware Workspace ONEを通じ、管理者に通知すると同時に、感染したデバイスをVMware Carbon Blackによって自動的に隔離するといった業務フローがあらかじめ定義されています。
VMware Workspace ONE とVMware Carbon Blackの連携ソリューションについては
こちらの記事でもご紹介しております。ご興味のある方は是非こちらもご覧ください。
実際の動きをデモ動画でご覧いただくことも可能です。
https://frontier.networld.co.jp/product-carbonblack/commentary-by-se-3/
Carbon Black連携 -Automation-

このようにVMware Workspace ONEファミリーを活用することで、テレワーク環境で安全と快適を両立するゼロトラスト セキュリティを提供することができます。ネットワールドではこのソリューションに関する情報提供や導入支援の体制を整えていますので、何かありましらぜひお声がけをいただければ幸いです。