NSX・vDefend Firewall・VCF Network Operationsの導入支援事例〜セキュリティポリシーの策定〜
製薬企業様向けに、仮想基盤における通信制御の強化を目的に、VMware NSXとvDefend Firewall、およびVCF Network Operations(旧称:Aria Operations for Networks)の導入を支援しました。
背景には、以前に社内ネットワークでセキュリティインシデントが発生し、仮想マシン間の通信がフルオープンだったため、脅威の内部拡散を防げなかったという課題がありました。その教訓を踏まえ、マイクロセグメンテーションによる内部対策強化を検討する中で、まずは通信の実態を可視化し、安全にルールを適用していく段階的な導入方針が求められていました。
ネットワールドでは、既存通信の可視化からファイアウォールルールの設計・検証・運用整備までを一貫して支援し、安全かつ実行可能なセキュリティ強化を実現しました。
構成のポイントとネットワールドからの支援
1. 現状通信の可視化とトラフィックアセスメント
VCF Network OperationsのCollector機能を用いて、仮想マシン間のL2〜L4通信ログを収集。通信の発信元・宛先・ポート・プロトコルといった要素を抽出し、業務系・管理系・外部系などに分類しました。
その結果をアセスメントレポートとして整理し、「どこで何が通信しているのか」「どの通信が不要・リスクありか」を把握することで、ルール設計の前提となる基礎データを整備しました。
2. 分散ファイアウォール導入に向けたルール設計支援
vDefend Distributed Firewallによるマイクロセグメンテーションに向け、可視化された通信ログをもとにルール設計を段階的に実施。通信内容に応じたグルーピングとルール定義を行い、安全かつ現実的に適用可能なポリシー構成を支援しました。
加えて、「許可すべき通信」「遮断すべき通信」の判断基準を明確化し、ルールごとの説明責任が果たせるよう設計書・仕様書も整備しています。
3. サンドボックス環境による検証と影響評価
既存の本番環境にいきなり制御を加えるのではなく、まずはログ収集モードとテスト環境を活用した通信傾向の確認を実施。誤遮断や業務影響を避けるため、慎重な検証を繰り返しながら、適用範囲を拡大していく段階的な導入を行いました。
このプロセスにより、「段階的にルールを強化しながら安全に本番適用できる」体制が構築されました。
4.可視化画面と運用の習熟支援
どの通信がどのルールで制御されているかを一目で把握できるダッシュボード操作を中心に、現場担当者向けのトレーニングを実施。操作手順はスクリーンショット付きでマニュアル化し、実務での迷いを防ぐ構成としました。
特に、VCF Network Operations上でのルールヒット可視化により、微調整が容易で、適用ルールの検証も正確に行える環境が整備されました。
5.ルール運用と変更管理体制の整備
一度作ったルールを放置するのではなく、定期的な見直しや新たな業務要件への対応が求められることから、ルール変更フローと承認プロセスを設計。また、インシデント発生時に迅速な対応ができるよう、緊急時のフロー・連絡体制も整理しました。
さらに、お客様自身が一定期間通信を収集・分析したうえでルールを徐々に追加していく運用を支援し、セキュリティの強化と業務継続の両立を実現しています。
