ネットワールドVM担当が語る！VMware NSX Advanced Threat Preventionによるセキュリティ対策の実現

近年、セキュリティ対策に対する関心が増えてきているかと思います。しかし脅威の高度化に伴い、従来の境界型セキュリティ対策では防御ができないので、ネットワーク境界内でも防御をする必要があります。

本ページでは、機械学習を利用して高度な脅威を特定し、侵入を防止することにより、データセンターのファイアウォールを強化するソリューションである「VMware NSX Advanced Threat Prevention」について解説いたします！

 従来のセキュリティ対策の限界

従来のセキュリティ対策では侵入防止型が採用されていました。これは侵入される前に脅威か否かを判断して侵入を防ぐものですが、この対策では止めることができない、対処できないものが増えてきました。例として、誰かが知人や取引先からの業務メールを装って添付ファイルが送信されてきます。そのメールにファイルが添付されており、ファイルを開いてしまうことにより、遠隔操作がたのマルウェアに感染してしまいます。感染した結果、感染者の端末だけでなく、その他の端末にも広がっていき、より高い権限を持つ管理者のＰＣが乗っ取られ、機密情報を抜き取られるといった事態が発生します。このように従来型のセキュリティ対策の場合、一見正常に見えているものに脅威が紛れていることもあるので、このような未知の脅威に対して既知のシグネチャーでは発見できない場合があります。そのため、ネットワークの入り口で防止する従来の対策だけでは高度な脅威を防ぐのは困難になりつつあります。

 VMware NSX Advanced Threat Preventionで解決！

上記で挙げたような従来のセキュリティ対策における課題を解決することが可能です。まず、VMware NSXはデータセンターからエッジに至るまでのネットワークをソフトウェアベースで提供しています。その中核となるのがVMware NSX Advanced Threat Preventionになります。NSX Advanced Threat Preventionは機械学習を利用して高度な脅威を特定し、侵入を防止することにより、データセンターのファイアウォールを補完するソリューションになります。NSXのマイクロセグメンテーションとNSX Advanced Threat PreventionのサンドボックスやNDR等と組み合わせることで従来の課題を解決することが可能です。

VMware NSX Advanced Threat Preventionのサンドボックス

サンドボックスとは、疑わしいファイルが届いた際に隔離された仮想環境に送り、その領域で実行することで危険性を判断できる機能です。

NSX Advanced Threat Preventionのサンドボックスは疑わしいファイル等に対してシグネチャマッチングやレピュテーションチェック、スタティックコード解析で総合的に情報収集をします。そしてサンドボックスやフルシステムエミュレーション等で分析を行います。その結果を基に管理コンソールから攻撃のブループリントを確認したり、Cyber Kill Chainで攻撃の構造を把握し切断することで防御力を高めることが可能です、さらにThreat Analysis Unitという脅威分析チームでファイルハッシュ、URLリスト等の最新の脅威と攻撃手法を常に把握、分析し安全性を高めています。

VMware NSX Advanced Threat PreventionのNDR

NDR(Network Detection and Response)はネットワーク上の様々な情報やログを収集し分析することにより危険なものを検知するソリューションになります。これによって社内ネットワークの状況を可視化でき、通信の経路、やり取りされているデータ量について把握が可能です。また、状況をリアルタイムで把握して不審な動作に対してその場で阻止することができます、例えば、攻撃者がログを改ざんしたり、削除する際も攻撃する前の正しいログを取得できるので、マルウェアの感染拡大や重要な情報が外部に漏れることなく被害を防ぐことが可能です。

NSX Advanced Threat PreventionのNDRはシグネチャ等の過去のトラフィックから精製したベースラインに通し、ここで疑わしいものは教師なしAIで排除されます。ベースラインを超えたトラフィックはサンドボックスからの振る舞いやネットワークから採取したマルウェア等の情報を学習させた教師ありのAIで誤検知・過検知を排除します。これにより真の悪性トラフィックを抽出することが可能です。また、悪性トラフィックを管理画面でブループリントを確認することも可能です。

VMware NSX Advanced Threat PreventionのIDS/IPS

IDS/IPSはそれぞれ侵入検知システム(Intrusion Detection System)、不正防御システム(Intrusion Prevention System)と呼ばれるものです。これらはインターネットからの通信による攻撃、ファイアウォールでは防げない攻撃に対し検知防御をし、ファイアウォールと補完し合って攻撃を防ぎます。

NSX Advanced Threat PreventionのIDS/IPSはファイアウォールと組み合わせて脅威の拡散を未然に防御することが可能です。また、各仮想マシンのNICレベルでセキュリティを強制することで境界を極小化することができます仮想マシンが仮想環境で通信をする際に必ず仮想NICから通信を行うため、ファイアウォール等の出入り口だけでなく極小のNICレベルでセキュリティ対策ができるというのが大きな特徴になります。また、ポリシーはアプリケーションやデータベースに関係なくNSXの中だけでの論理的なグルーピングができるため、グループごとの展開が可能でネットワークトポロジーに依存しない仮想化ならではのセキュリティモデルが展開できます。

まとめ

VMware NSX Advanced Threat Preventionはサンドボックス、NDR、IDS/IPSを連携させて正確な未知の脅威の検出、セキュリティ運用の向上、脅威に対して一網打尽にできるセキュリティソリューションになります。

また、VMwareが提供しているセキュリティソリューションと組み合わせることでネットワーク全体のセキュリティ対策ができます。具体的には今回ご紹介した「VMware NSX Advanced Threat Prevention」、「VMware NSX-T」のアクセス・トラフィック制御、エンドポイントに対する高度な攻撃による被害の拡大を未然に防ぐ「VMware Carbon Black」でネットワーク全体のセキュリティ対策を行うことが可能です。これによりVMware社がセキュリティビジョンとして掲げているVMware Intrinsic Securityという組み込み型のセキュリティを実現することができます。

ネットワールドでは、今回ご紹介したVMware NSX Advanced Threat Preventionのライセンスが含まれる「VMware NSX Security」をはじめ、様々なセキュリティソリューションに力を入れておりますので、ぜひお問い合わせください。