ゼロトラストセキュリティは、セキュリティ製品やID管理ソリューションのベンダーが率先して進めているイメージがあるが、「あらゆるアプリケーション、あらゆるクラウド、あらゆるデバイス」にわたるデジタルトランスフォーメーションの支援をミッションとして掲げるヴイエムウェア(VMware)も、ゼロトラストの実現に力を入れている。仮想化基盤で実績を誇る同社がなぜ、ゼロトラストに注力するのか。そして、この領域で同社の優位性はどこにあるのか。ヴイエムウェアが実現しようとしているゼロトラストの世界を明らかにする。
(取材・文/谷川耕一  編集/日高 彰)

ユーザーアクセスに加え ワークロードそのものを保護

 多くの企業は、アプリケーションやデータなどのデジタル資産を、自社のデータセンターやプライベートクラウドのインフラに置いてきた。この領域でデファクトスタンダードとなっているのが、ヴイエムウェアが提供する仮想化プラットフォームだ。ヴイエムウェアでは、ネットワーク仮想化製品の「VMware NSX」に分散ファイアウォールなどのセキュリティ・コントロールポイントを組み込み、仮想環境の安全性を高めてきた。

 同社のセキュリティ技術は現在、パブリッククラウドやコンテナ環境などにもカバー範囲を拡大している。最初に仮想化インフラそのものを対象としたセキュリティツールを開発し、それをクラウドに広げたという点で、同社のアプローチはアプライアンス製品などを起点とするセキュリティ製品ベンダーとは異なっている。最新のポートフォリオでは、これらの取り組みをゼロトラストアーキテクチャーに発展させている。

 ヴイエムウェアのアーキテクチャーには、「セキュアなユーザーアクセス」と「セキュアなワークロードアクセス」という二つの側面がある。前者は企業ネットワークとアプリケーションへの安全なユーザーアクセスを確保するものだ。後者は、クラウド内部やクラウド間で行われる通信を含む、ワークロードそのものを保護するものとなる。ユーザーアクセス部分だけを保護しても、攻撃者が何らかの方法でアクセスに成功すれば安全性は担保できない。一方でワークロード自体のセキュリティが十分にコントロールされていれば、攻撃者は初期の侵入に成功したとしても、対策を回避して攻撃を続行するのは困難となり、安全性はさらに高まることとなる。

 セキュリティ製品の専業ベンダーでは、前者のユーザーアクセスにのみ焦点を当てているところが多い。ヴイエムウェアは自社の取り組みを「完全なエンド・ツー・エンドのゼロトラストソリューション」であると主張しているが、これはユーザーおよびデバイスアイデンティティを活用したユーザーアクセスの保護、ワークロードアイデンティティを活用したワークロードアクセスの保護の両方を提供していることを強みとしているからだ。

 具体的には、まずテレワーク支援ソリューションの「VMware Anywhere Workspace」を用いて、ユーザーからのセキュアなアクセスを実現する。これには、SD-WANやクラウド型のセキュリティ機能を持つ「VMware SASE」と、エンドポイント保護製品の「Carbon Black」の両方を含んでいる。そして、NSX分散ファイアウォールでワークロード間の通信をセキュアにする。さらに「Carbon Black Cloud Workload」を用い、仮想マシンに組み込む形でワークロードを保護することで、セキュアワークロードアクセスも実現する。

 ゼロトラストアーキテクチャーの実装にあたっては、これらの製品を同時に導入して包括的な保護を行うことを同社では理想としている。しかし、他のセキュリティソリューションを既に適用している場合は、それらとヴイエムウェア製品をAPI経由で相互連携することで安全性を担保する形態も取れるようになっている。