ゼロトラストセキュリティは、セキュリティ製品やID管理ソリューションのベンダーが率先して進めているイメージがあるが、「あらゆるアプリケーション、あらゆるクラウド、あらゆるデバイス」にわたるデジタルトランスフォーメーションの支援をミッションとして掲げるヴイエムウェア（VMware）も、ゼロトラストの実現に力を入れている。仮想化基盤で実績を誇る同社がなぜ、ゼロトラストに注力するのか。そして、この領域で同社の優位性はどこにあるのか。ヴイエムウェアが実現しようとしているゼロトラストの世界を明らかにする。
（取材・文／谷川耕一　　編集／日高 彰）

ユーザーアクセスに加え　ワークロードそのものを保護

　多くの企業は、アプリケーションやデータなどのデジタル資産を、自社のデータセンターやプライベートクラウドのインフラに置いてきた。この領域でデファクトスタンダードとなっているのが、ヴイエムウェアが提供する仮想化プラットフォームだ。ヴイエムウェアでは、ネットワーク仮想化製品の「VMware NSX」に分散ファイアウォールなどのセキュリティ・コントロールポイントを組み込み、仮想環境の安全性を高めてきた。

　同社のセキュリティ技術は現在、パブリッククラウドやコンテナ環境などにもカバー範囲を拡大している。最初に仮想化インフラそのものを対象としたセキュリティツールを開発し、それをクラウドに広げたという点で、同社のアプローチはアプライアンス製品などを起点とするセキュリティ製品ベンダーとは異なっている。最新のポートフォリオでは、これらの取り組みをゼロトラストアーキテクチャーに発展させている。

　ヴイエムウェアのアーキテクチャーには、「セキュアなユーザーアクセス」と「セキュアなワークロードアクセス」という二つの側面がある。前者は企業ネットワークとアプリケーションへの安全なユーザーアクセスを確保するものだ。後者は、クラウド内部やクラウド間で行われる通信を含む、ワークロードそのものを保護するものとなる。ユーザーアクセス部分だけを保護しても、攻撃者が何らかの方法でアクセスに成功すれば安全性は担保できない。一方でワークロード自体のセキュリティが十分にコントロールされていれば、攻撃者は初期の侵入に成功したとしても、対策を回避して攻撃を続行するのは困難となり、安全性はさらに高まることとなる。

　セキュリティ製品の専業ベンダーでは、前者のユーザーアクセスにのみ焦点を当てているところが多い。ヴイエムウェアは自社の取り組みを「完全なエンド・ツー・エンドのゼロトラストソリューション」であると主張しているが、これはユーザーおよびデバイスアイデンティティを活用したユーザーアクセスの保護、ワークロードアイデンティティを活用したワークロードアクセスの保護の両方を提供していることを強みとしているからだ。

　具体的には、まずテレワーク支援ソリューションの「VMware Anywhere Workspace」を用いて、ユーザーからのセキュアなアクセスを実現する。これには、SD-WANやクラウド型のセキュリティ機能を持つ「VMware SASE」と、エンドポイント保護製品の「Carbon Black」の両方を含んでいる。そして、NSX分散ファイアウォールでワークロード間の通信をセキュアにする。さらに「Carbon Black Cloud Workload」を用い、仮想マシンに組み込む形でワークロードを保護することで、セキュアワークロードアクセスも実現する。

　ゼロトラストアーキテクチャーの実装にあたっては、これらの製品を同時に導入して包括的な保護を行うことを同社では理想としている。しかし、他のセキュリティソリューションを既に適用している場合は、それらとヴイエムウェア製品をAPI経由で相互連携することで安全性を担保する形態も取れるようになっている。

ハイパーバイザーレベルでセキュリティ機能を提供

　今年10月にオンライン開催された年次イベントの「VMworld 2021」では、ゼロトラストの原則に基づいたセキュリティソリューションを、マルチクラウド、モダンアプリケーション、Anywhere Workspaceの三つの領域で発表している。

　マルチクラウドセキュリティについては、クラウドおよびデータセンター内でセキュアなワークロードアクセスを実現するために、前出のCarbon Black Cloud Workloadを提供している。これはハイパーバイザーレベルでテレメトリーデータの収集や制御を行うことで、全ての仮想インフラをネイティブに保護する。

　ヴイエムウェア日本法人マーケティング本部の林超逸・ソリューションマーケティングマネージャーは、この製品について「vSphereのワークロードが保護対象となり、仮想マシンで実行中のワークロードの可視化、脆弱性の評価、パッチの適用が必要な脆弱性の優先順位付けなどの機能が利用できる」と説明する。
 
　これらの機能を活用することで、インフラ管理者とセキュリティ担当者が協力して、リスクの特定や対応の優先順位付けを行えるのが特徴だ。Carbon BlackとvSphereの両製品が統合されているため、アンチウイルスやEDRの機能を仮想環境に容易に組み込める。オンプレミスのvSphereだけでなく、VMware Cloud on AWSのようなパブリッククラウドともCarbon Blackは統合可能なので、企業のマルチクラウド環境もカバーできる。

　また、従来のデータセンターにおけるネットワークセキュリティは、ワークロードと外部ネットワーク間の通信、いわゆる“ノース／サウス”のトラフィックに注目し、インフラの出入り口を守るものだった。しかし、攻撃が高度化している現状では、万が一の侵入を許した後、攻撃者がインフラ内部で活動を広げるのを防ぐため、“イースト／ウエスト”のトラフィックに対するセキュリティ対策も併せて求められている。ヴイエムウェアではNSXに搭載される分散型ファイアウォールや、マイクロセグメンテーション、分散型のIDS／IPS、NDR（Network Detection and Response、ネットワークトラフィック分析による脅威検知・対応）などで、イースト／ウエストのセキュリティを強化している。

　例えばNDRでは、トラフィックを分析するとともに、サンドボックスから得たマルウェアの挙動に関する情報などを学習させたAIで解析することで、誤検知を大幅に下げているという。これで「エンド・ツー・エンドで疑わしいユーザーのアクセス、疑わしいプロセスを洗い出すことができる」と林マネージャーは言う。
 
　ワークロードアクセスの保護に関しては、「Elastic Application Security Edge」（EASE、イージー）と呼ぶソリューションを新たに発表した。これまでデータセンターやクラウドでは、それぞれのインフラのエッジ部分にハードウェアアプライアンスや仮想アプライアンスなどを導入し、セキュリティを担保してきた。しかしこのアーキテクチャーでは、新たなアプリケーションを投入する度に高価な製品を購入する必要があるばかりか、アプリケーションの変更にセキュリティインフラの導入が追い付かないという問題も発生する。EASEはソフトウェア定義型でセキュリティ機能を提供するもので、アプリケーショントラフィックの変化に合わせて、セキュリティの各種機能やキャパシティを柔軟に調整できる仕組みを提供する（上図参照）。

MSSP経由での提供拡大も視野

　モダンアプリケーション・セキュリティの領域では、アプリケーション開発のライフサイクルにおける、ビルド、デプロイ、実行、管理という各フェーズで考慮すべきセキュリティ機能を提供する。例えばビルドのフェーズでは、セキュリティコンプライアンスに違反がないかをスキャンする機能を、実行のフェーズではワークロードの保護などを提供する。

　モダンアプリケーション開発で利用できる、APIセキュリティの機能も発表している。これは、マイクロサービスの接続や監視を支援する「Tanzu Service Mesh」を用いて、APIを可視化し保護するものだ。林マネージャーは「開発者とセキュリティチームは、マルチクラウド環境全体にわたってAPIがいつどこでどのように通信したかを把握しやすくなる」とし、この機能を利用することで高度なDevSecOps（開発・運用のすべてのプロセスにセキュリティを統合すること）を実現できると説明する。

　Anywhere Workspaceの領域で提供するソリューションの一つが前出のVMware SASEで、さまざまな拠点からのワークロードへのアクセスを保護する。これはあらゆるエッジについてゼロトラストセキュリティによる認証、アクセスの保護を実現するアーキテクチャー。世界150カ所以上に展開している接続点（PoP）からSD-WAN、インターネット上のアプリケーションやSaaSアプリケーションへのアクセス可視化・管理・コンプライアンス、NSXファイアウォール、AIによるSASE自体の運用支援などの機能をas a Serviceの形態で提供するものだ。

　これらゼロトラストのソリューションを進めるにあたり、ヴイエムウェアではセキュリティ領域に力を入れているパートナーとの協業を加速させる。同社でソリューションビジネスを管掌する秋山将人・執行役員は、「セキュリティのマネージドサービスを展開しているパートナーとの新たな協業も進めることで、顧客にとって導入・運用しやすい形にしていく」と述べ、既存のパートナー網を通じた提供に加えて、MSSP（Managed Security Service Provider）のサービスにおけるヴイエムウェアのテクノロジーの採用も増やしていきたい考えを示す。

　ヴイエムウェアの仮想化基盤はクラウドやエッジにまで広がっている。同社が強みとするそれらの基盤において提供しているワークロードアクセスの保護に、ユーザーアクセスの保護を加えるアプローチは、ITインフラの領域で実績のあるヴイエムウェアならではのユニークなものと言える。ただ、同社のソリューションでセキュリティを染め上げることができれば、確かにゼロトラストのアーキテクチャーを実装できるが、企業には既に多くのセキュリティ製品が導入されている。それらと連携するリアリティのある提案ができるかがヴイエムウェアには求められそうだ。