従来のネットワーク・セキュリティ対策では、主に境界ファイアウォールなどで「攻撃の侵入を防ぐ」ことが重視されてきました。一方で、近年のサイバー攻撃においてはシグネチャによるパターンマッチング型の防御では検知できない攻撃が急増し、AIやビッグデータを活用した高度な分析や、万が一の侵入を前提とした攻撃予兆の早期発見と効率的な対処を実現するセキュリティ対策が求められています。その解決策として注目を集めているセキュリティ対策が「NDR」です。
本記事では、「VMware NSX」ファミリーの中から、AIや機械学習を活用したNDR 機能を提供する「VMware NSX Network Detection and Response (VMware NSX NDR)」の機能とライセンス体系についてご紹介します。
NDR (Network Detection and Response) とは?
NDR は「Network Detection and Response」の略称で、機械学習を活用したトラフィック解析によって「ネットワークの検知・対応」を行うためのセキュリティ対策です。NDR ではネットワーク・トラフィックを継続的に分析し、発生したアラートやイベントの相関関係を可視化し、標準的な振る舞いから逸脱した不審なトラフィックをいち早く検知・対応することを目的としています。
セキュリティ対策においては、日々多様化するサイバー攻撃を100%防御することは困難であることから、攻撃者が内部侵入に成功した後、その攻撃被害を最小化するといった観点での対策も必要になります。NDR のトラフィック分析機能は、内部侵入後に攻撃を水平展開するラテラル・ムーブメントといった攻撃の早期発見にも役立ちます。
また、NDR は「ネットワーク」側の分析を行いますが、「エンドポイント」側でイベント分析を行う対策として「EDR (Endpoint Detection and Response)」があります。この EDR と NDR で収集するデータを統合することで、あらゆるセキュリティポイントで発生した情報を分析・対処に活用する「XDR (Extended Detection and Response)」のアプローチに発展させることが可能です。
VMware NSX Network Detection and Response (NSX NDR) とは?
「VMware NSX Network Detection and Response (VMware NSX NDR)」は、分散型および境界型のセキュリティ機能を統合的に提供することで「NDR」を実現する、VMware社のセキュリティソリューションです。
分散型および境界型の
IDS/IPS
(侵入の検知/防御)
シグネチャによる脅威の特定と、次のアクションを決定づけるクラス分け
ネットワークの
トラフィック分析
(NTA)
機械学習の活用によって、ネットワーク上の危険な振る舞いを抽出
ハイブリッド型の
サンドボックスによる
マルウェア検知
詳細な解析でゼロディ攻撃を的確に検出し、検知を回避する攻撃も検出
VMware NSX NDR ではこれらのセキュリティ機能を組み合わせることで、ネットワーク上での不審な振る舞いや予兆をいち早く検知し、既知および未知のサイバー攻撃の侵入を防御します。収集したデータは広範囲のセキュリティ相関図として可視化されるため、侵入を許した攻撃についても進行状況や攻撃手法を迅速に把握でき、セキュリティチームの適切なインシデント対応を支援します。
また、VMware NSX NDR では NTA (Network Traffic Analysis) の誤検知・過検知を減らすため、IDS/IPSやサンドボックスでの学習データを利用した追加のAI解析を行います。さらに、VMware NSX NDR で利用できる脅威インテリジェンスに対しては、VMware社のセキュリティチームによってゼロディ情報の共有や機能改善が日々行われており、ユーザーは常に最新の脅威インテリジェンスを利用したセキュリティ対策が可能です。
VMware NSX NDR は、VMware NSX-T のセキュリティ機能を切り出して提供する「VMware NSX Security」の上位ライセンスに含まれています。(VMware NSX Security ライセンス紹介)
「VMware NSX NDR」はSE Labsから業界初となるNDRの「AAA評価」を獲得
2021年にSE Labs が実施したハッキング攻撃等のテストでは、「VMware NSX NDR」は非常に高いスコアで脅威を防ぐことが証明されています。
レポートでは以下に関するテストが行われ、VMware NSX NDR はこれらの脅威への対応で優れた結果を残しました。
- 多様な脆弱性攻撃
- ファイルレス攻撃
- マルウェア攻撃
- 偵察での検出手法
詳細は VMware Japan Blog をご確認ください。
VMware NSX NDR の3つの機能
ここでは、VMware NSX NDR が提供する3つの機能をご紹介します。
分散型および境界型のIDS/IPS (侵入の検知/防御)
ネットワークにおける不正な通信の振る舞いを検知・ブロックする機能がIDS/IPSです。VMware NSX NDR では、分散型IDS/IPSと境界型IDS/IPSを提供します。中でも、VMware NSX NDR ならではの特徴的な機能が「分散型IDS/IPS」です。
VMware vSphere の分散仮想スイッチと連携して動作する分散型IDS/IPS では、IDS/IPS のセキュリティポリシーを仮想マシンのvNIC単位で設定・実行することができます。これはネットワークセグメントを問わずに最小単位(仮想マシン単位)でファイアウォール設定を適用ができる「マイクロセグメンテーション」と同様の利点があり、East-West の横方向通信を網羅的にチェックすることで、脅威拡散の検知・防御に大きな効果を発揮します。
VMware NSX NDR の IDS/IPS で利用するシグネチャはクラウドベースで配信され、VMware NSX Manager を経由して20分おきに更新を確認します。受信した更新分のシグネチャが配信されると、次回のパケット処理から更新分を含めたシグネチャに該当するかチェックを行います。
また、シグネチャでは検出できない未知の脅威対策を補う仕組みとして「振る舞い検知機能」が提供されます。VMware NSX NDR に実装されている500以上の振る舞い定義によって、未知の脅威に対しても検出・防御が可能になっています。
分散 IDS/IPS「なし」の場合
攻撃者は、正規のポート番号を使いサーバの脆弱性をついてアクセスし攻撃。正規のトラフィックパターンとみなされ防御できず、①の AP サーバが攻撃され、②③の DB サーバの脆弱性をついて攻撃が拡大。
分散 IDS/IPS「あり」の場合
分散 IDS/IPS によって、脆弱性をついた攻撃のトラフィックパターンによる振る舞いを検知する。①の AP サーバ初期侵入、および、②③ DBサーバへの攻撃の拡散を防御。
ネットワークのトラフィック分析 (NTA:Network Traffic Analysis)
膨大な数のアラートやイベントといったネットワーク・トラフィックを分析することで、攻撃の兆候を検知する機能がNTAです。VMware NSX NDR では、機械学習やAIの活用によってトラフィック分析の高度化・効率化を行うことで、複雑化した攻撃ステップをリアルタイムかつ包括的に検知することが可能です。
VMware NSX NDR のNTAでは、以下の手順でネットワーク・トラフィックの分析を行い、真の脅威を正しく検出します。
- 標準的なネットワークの振る舞いを表すモデルを構築
- 全てのホップ間のネットワークトラフィックに対して振る舞い分析を実施
- 通常の振る舞い以外は、「教師なし機会学習モデル」によって分析を継続
- さらに疑わしい振る舞いについては、サンドボックスから得られたマルウェアの挙動情報やネットワーク活動のキャプチャによる「脅威情報ベースの教師あり機会学習モデル」によって分析を継続
こうして分析された情報はVMware NSX NDR の管理画面において、各イベント単位ではなく相関のある「攻撃キャンペーン」としてわかりやすく可視化されるため、攻撃への対処を判断するための証拠とその詳細情報に素早くアクセスすることが可能です。
ハイブリッド型のサンドボックスによるマルウェア検知
添付ファイルなどの検体を安全な隔離環境で実行して、脅威の有無を検出する機能がサンドボックスです。検体による外部通信が発生した際は、実際にアクセスして解析を続けて悪質なファイルを検出します。VMware NSX NDR では、IDS/IPS と同様に分散型・境界型の両方でサンドボックス機能が実装されており、「スタティック解析」と「ダイナミック解析」を動的に使い分けるハイブリッド技術によるマルウェア検知機能を提供します。
「スタティック解析」は 無害なファイルや既知の悪意のあるファイルを検知するのに適した手法です。シグネチャやファイル構造、埋め込みコードからファイルを解析し、ダイナミック解析が必要かどうかを判断します。
「ダイナミック解析」で行われる「フルシステムエミュレーション」では、ファイルをクラウド上のサンドボックスである「NSX Sandbox」に送信し、多角的な振る舞い解析を実行します。難読化されたゲストOS上での挙動をハードウェアレベルで解析することで、スタティック解析を回避する脅威にも対応します。
VMware NSX NDR の購入方法
「VMware NSX NDR」は、ネットワーク仮想化を実現する「VMware NSX-T」の機能から、セキュリティに関する機能を切り出して提供するセキュリティ特化のライセンス「VMware NSX Security」の上位エディションに含まれています。
「VMware NSX Security」は、分散型および境界型のファイアウォール、IDS/IPS、サンドボックス、NDR などの最新の対策との組み合わせによって脅威の侵入や内部拡散を防止し、データセンター全体を安全に保護するセキュリティソリューションです。
セキュリティ対策に特化した「VMware NSX Security」の機能
脅威の拡散防止
(分散ファイアウォール)
「マイクロセグメンテーション」でセキュリティポリシーをVM単位に細分化
仮想パッチ・脆弱性対策
(分散IDS/IPS)
「IDS/IPS」でネットワークを監視し不正と思われる通信を検知・防御
未知の脅威への対応
(サンドボックス)
「サンドボックス」で悪質なファイルを検出し、詳細に分析・防御
信頼性評価・フィルタリング
「URL/FQDN フィルタリング」および「Identity/L7 Firewall」でリスクが高い Web サイトへのアクセスをブロックし、アプリケーションのなりすまし使用を防止
ネットワークイベントの相関分析 (NDR)
「Network Detection and Response」で分散型および境界型のセキュリティ機能が提供する各機能の状態を相関分析し、攻撃・侵害の進行状況を可視化
VMware NSX NDR が含まれる「VMware NSX Security」のラインナップ
「VMware NSX Security」には以下6つのライセンスが用意されています。VMware NSX Security には大きく「Distributed Firewall (分散型)」と「Gateway Firewall (境界型)の2種類があり、「VMware NSX NDR」はそれぞれの上位ライセンスに含まれています。
- 「VMware NSX Distributed Firewall」シリーズ
- VMware NSX Distributed Firewall
- VMware NSX Distributed Firewall with Threat Prevention
- VMware NSX Distributed Firewall with Advanced Threat Prevention ※NSX NDR の分散型機能が利用可能
- 「VMware NSX Gateway Firewall」シリーズ
- VMware NSX Gateway Firewall
- VMware NSX Gateway Firewall with Threat Prevention
- VMware NSX Gateway Firewall with Advanced Threat Prevention ※NSX NDR の境界型機能が利用可能
また、「VMware NSX Distributed Firewall」シリーズと「VMware NSX Gateway Firewall」シリーズのライセンスは、同一の環境内にて組み合わせて利用することが可能です。
「VMware NSX Distributed Firewall」シリーズ (分散型セキュリティ)
「VMware NSX Distributed Firewall」
「VMware NSX Distributed Firewall」シリーズは、仮想環境に対して「マイクロセグメンテーション」といったVMware NSX-T の分散型セキュリティサービスを提供するライセンスです。
VMware NSX-T の分散型セキュリティサービスを利用するために必要な「VDS (分散仮想スイッチ) 」の利用権も含まれているため、VDS が利用できない「VMware vSphere Standard」といったライセンスとの組み合わせにも対応しています。
VMware NSX NDR の機能は、最上位の「VMware NSX Distributed Firewall With Advanced Threat Prevention」に含まれています。
| VMware NSX Distributed Firewall シリーズ | VMware NSX Distributed Firewall | VMware NSX Distributed Firewall With Threat Prevention | VMware NSX Distributed Firewall With Advanced Threat Prevention |
|---|---|---|---|
| L4/L7 分散ファイアウォール | |||
| FQDN フィルタリング | |||
| ID ファイアウォール (分散ファイアウォール) | |||
| VMware NSX Intelligence | |||
| VDS 7.0の作成 | |||
| 分散スイッチング (VLAN) | |||
| 2台以上との vCenter 連携 | |||
| 分散 IDS/IPS (侵入検知・防御システム) | |||
| NDR (Network Detection and Response) | |||
| NTA (Network Traffic Analysis) | |||
| 分散アンチマルウェア (分散マルウェア防御) | |||
| クラウドサンドボックス・ 検体解析 |
「VMware NSX Gateway Firewall」シリーズ (境界型セキュリティ)
「VMware NSX Gateway Firewall」シリーズは、仮想環境に対して「NSX Edge」といった VMware NSX-T の境界型セキュリティサービスを提供するライセンスです。
VMware NSX-T の論理ネットワーク環境でトラフィックを処理する「Tier-0/Tier-1 Gateway」において、IDP/IPSやファイアウォールといった境界型セキュリティサービスを動作させることが可能です。
VMware NSX NDR の機能は、最上位の「VMware NSX Gateway Firewall With Advanced Threat Prevention」に含まれています。
「VMware NSX Gateway Firewall」
| NSX Security 「境界ファイアウォール」 ライセンス | VMware NSX Gateway Firewall | VMware NSX Gateway Firewall With Threat Prevention | VMware NSX Gateway Firewall With Advanced Threat Prevention |
|---|---|---|---|
| L4/L7 App-ID ゲートウェイファイアウォール | |||
| URL フィルタリング | |||
| ID ファイアウォール (ゲートウェイファイアウォール) | |||
| L2 VPN と L3 VPN | |||
| 2台以上との vCenter 連携 | |||
| ゲートウェイ IDS/IPS (侵入検知・防御システム) | |||
| ゲートウェイマルウェア検知 | |||
| クラウドサンドボックス・ 検体解析 |
VMware NSX NDR のご相談はネットワールドにお任せください
機械学習を活用したトラフィック解析によって、「ネットワークの検知・対応」を行う「VMware NSX Network Detection and Response (VMware NSX NDR)」についてご紹介しました。
VMware NSX のセキュリティ機能については、以下の資料でもご紹介しています。
VMware NSX の「Advanced Threat Prevention」機能については、以下の記事でもご紹介しています。
ネットワールドではVMware NSX NDR や VMware NSX-T をスムーズに導入・活用いただくために、お客様に合わせてヒアリングから各コンポーネントの導入、操作手順書の作成、トレーニングの実施、導入後のオフサイトサポートまでトータルに対応する「導入支援サービス」を提供しています。基本的なサービスに加えて、お客様に要望に応じた個別のサービスカスタマイズも可能です。VMware NSX NDR をご検討の際は、ぜひネットワールドまでお問合せください。