私たちはもう、セキュリティをネットワーク仮想化に基づいて設計する時代を迎えている:VMwareのCTO、ブルース・デイヴィ氏に聞いた
「企業が、セキュリティのあり方を根本的に変えなければならない時が来た」と、VMwareのバイスプレジデント兼アジア太平洋および日本地域CTO、ブルース・デイヴィ氏は話す。その背景には「モバイル」「クラウド」「エッジ/IoT」「AI」という4つの「スーパーパワー」があるという。
「どんな企業でも、ネットワーク仮想化によって、ネットワークセキュリティの設計を根本的に変えなければならない時が来ました。私自身の現在の立場とは関係なく、本当にそう確信しています」と、ブルース・デイヴィ(Bruce Davie)氏は話す。デイヴィ氏は、エンジニアとしてCisco Systemsに13年在籍し、Cisco Fellowとなっていた。その後ネットワーク仮想化のパイオニア的存在となったスタートアップ企業のNicira Networksに移り、VMwareによるNiciraの買収に伴ってVMwareに入社。ネットワークCTOを経て、現在はバイスプレジデント兼アジア太平洋および日本地域CTOを務めている。
なぜネットワークセキュリティのあり方を根本的に変えなければならないのか。境界セキュリティの前提が崩れてしまったからだ。
公衆ネットワークと社内ネットワークとの接続境界点で、ファイアウォールをはじめとするセキュリティ機能を適用するのが境界セキュリティ。以前は企業がセキュリティ対策を実施するための基本的アプローチとして妥当だった。
しかし、まずセキュリティ攻撃が高度化し、境界セキュリティをマルウェアがすり抜けてしまい、結果として大きなセキュリティ事件に発展したケースが幾つも見られるようになってきた。
加えて、セキュリティ上保護すべき対象が分散しつつあることで、物理的な場所によって社内と社外を分けるという考え方は、有効性を失いつつある。
後者に関連して、デイヴィ氏は「モバイル」「クラウド」「エッジ/IoT」「AI」という4つの「スーパーパワー」が、ネットワークセキュリティを巡る環境を大きく変えつつあると説明する。
例えば「クラウド」に関しては、特定のパブリッククラウドへ業務システムをほぼ全て移行しようとしている企業がある。また、パブリッククラウドへの移行を当面は一部のアプリケーションに限定するものの、社内データセンターの統廃合を急ぐ企業が出てきている。VMware Cloud on AWSは、こうした企業に歓迎されている。さらに、社内データセンターの大部分をそのままの形で残しながらも、複数のパブリッククラウドを用途に応じて使い分ける、いわゆる「マルチクラウド」を求める企業も多い。単一のアプリケーションが、パブリッククラウドと社内データセンターにまたがる構成をとることも増えている。
「エッジ/IoT」および「AI」は、「データを細かく、あるいは大規模に収集し、これをさまざまなレベルで分析することにより、これまで不可能だったビジネスの創出、あるいはビジネス上の判断を行う動き」と表現できる。IoT/AIでは、地理的に分散した、多数のデバイスから発生するデータを扱わなければならないことが多い。また、こうしたデバイスの近くでデータの分析/機械学習を実行する、「エッジコンピューティング」を導入する動きが、既に一部で進んでいる。そして、パブリッククラウドあるいは社内データセンターで機械学習モデルを構築し、これをエッジで適用する例が見られるようになってきた。
さらに、「モバイル」というキーワードに関して言えば、アプリケーションやデータを活用する社内外のユーザーの物理的な場所は、もはや固定的なものではなくなっている。加えて、自動車や列車、航空機など、データを発生するモノが移動することも増えてくる。
企業は今後ビジネス上、例えば1週間前、場合によっては1分前には予想もしていなかったものや場所同士を機動的に接続し、接続対象や用途に応じたセキュリティを確保しなければならない。
「こうしたことを考えるにつけ、従来型の境界セキュリティは、今日私たちが生きている世界では、絶望的なほど不適切になりました。ファイアウォールを捨てるべきかといえば、答えはノーです。しかし、私たちの直面するセキュリティ上の課題を解決するという観点からは、明らかに不足するようになってきています」
データセンターネットワークの仮想化から始めるべき
では、上記の意見に総論として賛同する組織の情報システム部門、およびネットワーク/セキュリティ担当者は、何から始めるべきか。デイヴィ氏の提案は明確だ。データセンターネットワークの仮想化をしていないなら早期に導入し、運用に習熟すべきだという。
既に多くの企業は、「VMware NSX」を採用し、社内データセンターのネットワーク仮想化を進めている。最大の導入理由は「マイクロセグメンテーション」(きめ細かなネットワークの論理分割)によるセキュリティの強化だ。今後はこのマイクロセグメンテーションのメリットを、パブリッククラウドやエッジ/IoTデバイスに広げていくべきだという。これによって、必ずしも公衆ネットワークとの明確な境界を引くことのできないケースを含めた、セキュリティおよびセキュリティガバナンスの確保ができるようになる。
一方、社内データセンターにVMware NSXをまだ導入していない企業は、境界セキュリティが破られても大きな被害が出ないようにするため、早期に導入を進めるべきだとデイヴィ氏は力説する。
「過去5年ほどの大きなセキュリティインシデントでは、境界セキュリティが破られてしまっただけで、マルウェアなどが急速に拡散してしまい、結果として甚大な被害につながっています。多くの場合、内部での防御さえあれば、実害が防げたと考えられます。データセンター内部のセキュリティを強化するために最適なパーツを追加するとすれば、それは何なのでしょうか。答えは明らかに、ネットワーク仮想化です」
しかし、「仮想化」は運用が難しくないのだろうか。インターネットとの境界に配置するファイアウォールやIDS/IPSの製品は、対象がはっきりしているため運用しやすい。一方、分散ファイアウォールを使い、仮想マシンやコンテナ単位のセキュリティを構築することを想像するだけで、「セキュリティ確保の作業が複雑化するのではないか」と、心配する人は多いのではないだろうか。
「例えば境界セキュリティが破られた場合に備え、社内データセンターネットワーク上に、通常のファイアウォールを複数導入することを考えたとします。データセンターではメッシュ状に通信が発生しますから、『この複数のファイアウォールをどこに入れるのか、ファイアウォールそれぞれにどのようなルールを適用すればいいのか』と考えるだけでも確かに頭が痛くなってきます。しかも、実効性を確保することが非常に困難です。しかし、それをソフトウェアで実現するVMware NSXでは、セキュリティルールを仮想マシンやコンテナのタイプごとのポリシーとして作成し、適用します。個々の仮想マシンやコンテナに対しては、このポリシーがほぼ自動的に適用されます。従って、複雑になるはずの作業を逆に自動化し、省力化できます。データセンター内のセキュリティを短時間で確保できますし、導入後の継続的な検証や監査も、はるかにやりやすくなります」
その上で、セキュリティ対策の合理化を進めることができるという。
「複雑化はセキュリティの敵です。企業向けのポイントセキュリティ製品を提供するベンダーは、400社以上に上っています。セキュリティの強化が運用の複雑化につながらないようにするために、企業はできるだけ利用する製品の種類を減らし、統合的に運用できるようにしていくべきです」
VMware NSXを基盤とした統合運用のメリットは、VMwareのセキュリティ関連製品でしか得られないということではない。
「例えばPalo Alto NetworksやCheck Point Software Technologiesと提携しており、これらの製品をVMware NSXと統合的に利用することによって、マイクロセグメンテーションを生かし、レイヤー7までのセキュリティ機能を果たすことができます」
また、「VMware AppDefense」を活用すれば、ネットワークセキュリティを超えたアプリケーション指向の対策が統合的に行えるようになる。
「ネットワーク通信をレイヤー7まで制御するという考え方も重要です。ただし、非常に高度なセキュリティ攻撃では、ネットワーク通信だけ見ても、正規の通信との違いを見出せないことがあります。そこで個々のアプリケーションについて、プロセス単位で正しい振る舞いを記録しておき、これとは異なる動きが見られた場合には、自動的に防御するといった仕組みが作れます。あなたの保護するネットワークにマルウェアが侵入してしまう日はいずれ来ます。そこで、侵入されることを前提とした場合に、防御を最大化するアプローチとは何なのかを考えるべきです。このようなアプローチには、『統合制御』と『自動化』が欠かせません」
ネットワークエンジニアは、今の時代に何を目指すべきか
最後に、これまで可用性の高い高速な物理ネットワークを構築し、運用することに生きがいを見出してきたネットワークエンジニアが、今何を考えるべきかをデイヴィ氏に聞いてみた。
「ネットワーキングの世界にいることがこれまで以上にエキサイティングだと思えるような時代が来ました。『苦労して習得してきた従来のやり方を続けていきたい、新しいやり方など覚えたくない』という人もいるでしょう。こうした人たちに伝えたいのは次のことです」
「以前は、ネットワークを正しく動かし続けることこそが仕事とされていました。そして、ネットワークに対する設定変更には、4週間をかけても問題ありませんでした。しかし、こうした世界は終焉を迎えました。一方、ビジネスニーズにできるだけ早く対応することで、ビジネスに貢献できるチャンスが生まれてきました。こうしたチャンスが生まれていることに興奮を覚えるなら、これを可能にしてくれる新しい技術に取り組むべきです。ネットワークエンジニアも、エキサイティングなビジネストランスフォーメーションの一翼を担えるのです。コストを減らすといったことだけでなく、より優れたビジネスモデルを構築することに、貢献していくことができるのです。こんなに素晴らしいことはないと思います」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
関連リンク
提供:ヴイエムウェア株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年9月19日