VMware SASE超入門編⑤
統合エンドポイント管理を実現する「VMware Workspace ONE」とは？

VMwareでは、複数のクラウドサービスを連携させることで、ゼロトラストセキュリティを最短距離で実現できるセキュリティソリューションの「VMware SASE」を提供しています。

VMware SASEにおいて、「VMware VeloCloud SD-WAN」と共に非常に重要な役割を果たしているコアテクノロジーが「VMware Workspace ONE」です。「VMware Secure Access」のベースとして多様なデバイスからの安全なリモートアクセスの機能を提供するほか、自宅や外出先で仕事をしているユーザーに対して快適な操作性を提供することで一人ひとりの業務生産性を高める総合エンドポイント管理のソリューションとなっています。

「VMware Workspace ONE」が提供する4つの特徴

人々が働く環境が大きく変わっています。紙の書類やハンコに代表されるアナログな習慣はどんどんデジタル化され、PCやスマホがあればほとんどの業務がこなせるようになってきています。そんな中、人々が仕事をする空間を「デジタルワークスペース」と定義し、快適で安全なデジタルワークスペースの実現を目指しているのがVMwareです。

「VMware Workspace ONE」（以下、Workspace ONE）はVMware社のセキュリティソリューション「VMware SASE」においても重要な要素の一つで、「デバイス管理」「ユーザー管理（ID管理とアクセス権管理)）「アプリケーション管理」「デスクトップ管理（リモートアプリやVDI)）といった機能を1つのプラットフォームに統合し、いつどのデバイスから接続しても同じように仕事ができる環境を提供します。

Workspace ONEのこうした機能により、時間・場所・デバイスを問わず、さまざまな業務アプリケーションにセキュアにアクセスできるようになります。テレワークが当たり前になりつつある今、安全性と利便性を兼ね備えたWorkspace ONEのようなデジタルワークスペースを構築することが、ビジネスの維持・拡大に大きく貢献するでしょう。

VMware Workspace ONEの基本機能

VMware Workspace ONEは次のような機能を提供します。

デバイス管理：ポリシーでの制御、リモートワイプ、検疫ネットワークなど

デバイス管理では、PCやスマートフォン、タブレットを高いセキュリティのもとシンプルに管理するための機能を提供します。管理者は、会社支給のPCだけでなく、ユーザーの私用端末（BYOD）やスマートフォンを含めたあらゆるデバイスを一元的に管理できます。

各デバイスは、セキュリティポリシーを適用し、ポリシーに沿って自在に制御することが可能です。例えば、OSのセキュリティパッチが不十分だったり、暗号化機能のBit Lockerが有効でなかったりしたデバイスは、ログオンできないように設定することができます。

また、ユーザーがデバイスを紛失した際は、端末のロック、メッセージの表示、データのワイプなど複数の対策を組み合わせて実行し、セキュリティを確保します。管理者だけでなく、紛失に気付いたユーザーがセルフサービスで対応する設定も可能です。

位置情報（GPS）と連動したポリシーの適用も行えます。例えば、特定エリア内でのみ端末の利用を許可する、オフィスから離れたらカメラの利用を許可するといったことです。デバイスを紛失した場合に位置情報を取得して、デバイスの最新の位置をマップ上に表示したり、時系列で位置情報を確認したりすることもできます。

デバイスを多要素認証の1つとして用いることも可能です。ユーザーが業務アプリにログインする際、パスワードの他にユーザーのスマートフォンやタブレットを2つめの強力な認証トークンとして使用します。

ユーザー管理：SSO、多要素認証、条件付きアクセスなど

ユーザー管理では、ユーザーのIDとアクセス権を適切に管理する機能を提供します。

ユーザーにはセルフサービス型のアプリケーションポータルが用意されています。ユーザーはシングルサインオン(SSO)を用いてポータルにログインし、ポータルにあるアプリケーションや仮想デスクトップをその都度認証することなく利用できるようになります。

ポータルにアクセスする際には、ユーザーが利用しているデバイスやユーザーの場所といったユーザーの状況（コンディション）を判断して、ログインできないようにしたり、利用できるアプリケーションを制限したりできます（条件付きアクセス）。例えば、社外からのアクセスの際には多要素認証を必須にしたり、海外からのアクセスは自動的にプロックしたりできます。

判断の条件としては、接続元デバイスタイプ、接続元ネットワーク、ポリシーの順守状況などがあります。これらを、条件を用いてコンテンツやアプリケーションへのアクセス制限をかけることができます。例えば、Microsoft 365などを利用する際に、承認されたユーザーと承認されたデバイスのみにアクセス権を付与するといったことが可能です。

認証は、標準で提供される二要素認証「VMware Verify」が利用できるほか、RADIUSベースの二要素認証やRSA SecureIDなどとの連携も可能です。

アプリケーション管理：SaaSに対するSSOを実現

アプリケーション管理では、ユーザーが利用するアプリケーションを管理したり、管理者がユーザーにアプリケーションを配布したりする機能を提供します。

ユーザーのアプリケーション管理では、ポータルサイトから、自分が利用するアプリケーションを自由に選択して利用できます。上述したように、ポータルにログインすれば、Microsoft 365やSalesforceなどSaaSアプリケーションをSSOで利用でき、SaaSごとに固有のIDのパスワードを入力する必要はありません。アプリケーションは、一般消費者向けのアプリストアのように、アプリケーションカタログから、追加ボタンを押すだけで追加できます。

アプリケーションカタログには、SaaSだけでなく、社内で利用しているアプリケーションやモバイルアプリ、Windowsアプリを登録することもできます。

このように、デバイス、ユーザー、アプリケーションを問わない本質的なセキュリティを組み合わせることで、ゼロトラストモデルを採用したアクセス制御を実現します。

デスクトップ管理：社内開発アプリや仮想デスクトップの配信

デスクトップ管理では、Windowsアプリケーションをクラウドアプリとして配信したり、VDIとして利用しているWindowsデスクトップを仮想デスクトップとして配信したりできます。

Windowsアプリケーションの配信には「リモートデスクトップサービスホスト(RDSH)」「Microsoft RemoteApp」「VMware ThinApp」などの技術を利用しています。また、仮想デスクトップには「VMware Horizon」の技術を利用しています。

これにより、一般的なSaaSアプリケーションやモバイルアプリだけでなく、社内開発した業務アプリケーション、モバイルアプリ、DaaSをSSOで利用することができるようになります。

管理者は、アプリケーションカタログ上でのアプリの管理のほか、一般消費者向けアプリストアの利用制限、ブラックリストなどにより、ユーザーが利用するアプリケーションを制御できます。

また、コンテンツについては、専用ビューワー「Content Locker」により、PDFやWordなどのドキュメントをセキュアな環境で利用できます。指定外のストレージへの保存やメール添付を禁止することでデータの漏洩を防ぐこともできます。

VMware SASEにおけるVMware Workspace ONE

VMware Workspace ONEは、以下の機能によってVMware SASE構成における「ゼロトラストネットワークアクセス」の要素を提供します。

VMware Workspace ONE UEM

VMware Workspace ONE UEMは単一の管理コンソールから、デスクトップ（Windows 10、macOS、Chrome OS）やモバイル（Android、iOS）など、あらゆるユーザーとデバイスに対する統合エンドポイント管理を実現します。

VMware Workspace ONE UEMのWorkspace ONE Tunnelは、通常のIPsecベースのVPNと異なるアプリケーションベースのVPNを採用しており、トラフィックをきめ細かく制御することが可能です。これがVMware SASEのVMware Secure Accessサービスが提供するリモートアクセスのベースとなっています。

また、各ユーザーのデバイスをMDM（モバイルデバイス管理）の管理下に置くことができます。これにより利用を認めたアプリケーションのみを配信するほか、デバイスを社外で紛失した際にリモートからロックをかけたり、データを強制削除したりといった対処を行うことも可能です。このように物理的なデバイスのセキュリティリスク回避まで含めたゼロトラストアーキテクチャーをVMware Workspace ONE UEMで実現していることが、他社のSASEソリューションにはないVMware SASEならではの強みとなっています。

さらにWorkspace ONE Intelligent Hubにより、各種SaaSを含めたあらゆるアプリケーションに対して、シングル サインオン（SSO）が可能な統合セルフサービスアプリケーションカタログを提供します。

VMware Workspace ONE Access

Active Directory、ADFS（Active Directory Federation Services）、AAD（Azure Active Directory）、Okta、Pingなどとの連携によりユーザー認証を行います。また、前述のVMware Workspace ONE Intelligent Hubに直接統合されたパスワードレスの多要素認証機能により、セキュリティ侵害のリスクを低減します。

さらにVMware Workspace ONE UEMとのデバイスコンプライアンス情報連携により、リモートアクセスしてくるデバイスに対して証明書認証を行うほか、社内のセキュリティポリシーを順守しているかどうかを確認し、接続の可否を決定します。

VMware Workspace ONE Intelligence

いわゆるSIEM（Security Information and Event Management）に該当するサービスとしてセキュリティに関する多岐にわたる情報を収集・統合し、必要なアクションを促します。

具体的にはエンドポイント分析や脆弱性分析、認証分析、アプリケーション分析、脅威分析などから得られたすべての結果を集計してAIによる機械学習や相関分析を行い、有益なインサイト（洞察）を取得します。

さらに自動化を見据えたダッシュボード上での可視化やレポーティング、実行すべきアクションの提示、アラートの通知、スクアリングなどのアウトプットを行うことでセキュリティレベルを高めることができます。

VMware Workspace ONEと「VMware Carbon Black」の連携

VMwareでは、NGVA（Next Generation Anti-Virus）やEDR（Endpoint Detection and Response）といったセキュリティ機能を兼ね備えたクラウドネイティブのエンドポイント保護プラットフォームとしてVMware Carbon Black Cloudを提供しています。

VMware Workspace ONE IntelligenceとこのVMware Carbon Black Cloudを連携させることで、セキュリティ対策のアクションを自動化することができます。例えばVMware Carbon Black Cloudがマルウェアを検知した際に、そのデバイスからのリモートアクセスを即座に切断し、自動隔離を行うことが可能です。

VMware SASEの機能強化の方針

VMware SASEは現在的なネットワーク&セキュリティへの変革を実現すべく、4つの方針に基づいて機能強化が進められています。

１つめは「クラウドファースト」。企業システムのマルチクラウド化を支える最適なネットワーク環境をVMWare SASEから提供します。

２つめは「アプリケーションレスポンスの確保」。安全に接続できるだけではなく、あらゆる場所からリモートで快適に業務を遂行するためのレスポンスを確保することにも注力しています。VMware VeloCloud SD-WANによる通信の最適化や複数回線を束ねた帯域の拡大といった技術をさらに強化していきます。

３つめは「本質的なセキュリティ」。VMware SASEはすべてのユーザートラフィックの中継網となるため、外部に抜けていく通信はもとより内部向け通信に対してもファイアウォールやIPS、サンドボックスなどの機能を提供。将来的にはNDR（Network Detection and Response：ネットワークにおける検知と対応）などの技術も実装していくことが検討されています。

４つめは「シンプルな運用」。VMware SASEの豊富な機能を運用の容易なシングルコンソールで提供します。これによりVMware SASEのスモールスタートでの導入と活用を実現するとともに、IT管理者の作業負荷を軽減します。