© 2014 VMware Inc. All rights reserved. © 2014 VMware Inc. All rights reserved.
ヴイエムウェア株式会社
広域パートナー営業部 高橋 良裕
セキュリティ強化の為の仮想化 ~マイナンバー対策、インターネット端末保護~
2
企業概要(World Wide) VMware, Inc. • 設立: 1998年
• 全従業員: 約14,500名
• ユーザー企業数: 500,000社以上
• お客様のプロファイル : Fortune 100企業の100 Fortune 1000企業の99%
2013年度のビジネスアップデート • 売上高: $52.1億ドル
• 前年同期比成長率: 13%
企業概要(日本) ヴイエムウェア株式会社 • 設立: 2003年
• 国内のパートナー: 2,000社以上
売上推移
VMware 会社概要
<国内の代表的なお客様(ロゴ使用許諾済み企業様)>
サーバ仮想化 プライベートクラウド
Source: 株式会社ミック経済研究所, サーバ仮想化&オンプレミス型プライベートクラウドの市場展望2012 サーバ仮想化ソフト別 サーバ仮想化ソリューション売り上げ サーバ仮想化ソフト別 プライベートクラウドソリューション売り上げ
プライベートクラウドは、サーバ仮想化を導入し、IT基盤の共通化、及び運用の標準化・統合管理を行っているソリューション案件
VMware vSphere,
83.6%
A社, 1.6%
B社, 0.8%
C社, 8.9%
D社, 1.7%
その他 3.4%
VMware vSphere,
92.8%
A社, 0.6%
B社, 0.1%
C社, 4.6% D社, 0.7% その他, 1.2%
国内シェア
最も売れている仮想デスクトップベンダー
仮想デスクトップのジャンルでも日本シェアNO.1
40.4%
37.7%
12.2%
9.7%
2013 (H1) VDI Vendor Share in Japan
VMwareVendor 2Vendor 3Others
Source: IDC Asia/Pacific Centralized Virtual Desktop 2013–2017 Forecast and Analysis: First Look at 2013 , Doc# AP8523401T, Oct 2013
悪意のあるプログラム感染後の拡散防止 ~高度化する脅威への新たなセキュリティモデルの必要性
従来の侵入防止型セキュリティモデルだけでなく 被害を最小限に抑える”拡散防止型セキュリティモデル”も必要
オンラインバンキングの不正利用
内部不正による情報漏洩
標的型攻撃による諜報活動
2015年版
仮想化とは?
仮想化されたシステム
VMware
従来通りのシステム
OS
アプリケーション
1つのハードに1つのOS ハードとOSの分離はできない
仮想化されたハードに複数のOS ハードとOSとの分離ができる (仮想化されたハード上で動作するOSをゲストOSと呼ぶ)
メーンフレームの時代から培われてきた技術
VMwareがIAサーバ上で初めて仮想化を実現
仮想的なハードウエア
Operating System
Application
Operating System
仮想マシンA
ハイパーバイザー(Hypervisor)
Operating System
Application
Operating System
仮想マシンB
Operating System
Application
Operating System
仮想マシンC
ゲストOSはあたかも機械の上に
いるように動いているが、実際は
仮想的な機械で動いている
仮想化を実装するソフトウェア(ハイパーバイザー)が 仮想的なハードウェアをゲストOSに提供
サーバー仮想化による可用性の向上
システムを止めることなく、物理サーバ間を移動できる︕
サーバA サーバB
メンテナンス中 稼働中
メンテナンス時の
ダウンタイムが
ゼロに︕
※vMotionによる機能です。
サーバがダウンしても、稼働中の別サーバで再起動︕
サーバA サーバB
障害発生 稼働中
業務への影響が
最小限に︕
※High Availability(HA)による機能です。
ストレージの
メンテナンスや交換も
ダウンタイム無し︕
※Storage vMotionによる機能です。
仮想環境の
健全性、リスク、効率性
を見える化︕
※vSOMによる機能です。
ストレージデータの移動時も、仮想マシンを止めません︕ インフラの監視も、より簡単に︕より確実に︕
ミッションクリティカルなシステムの可用性を向上!
VDIの目的とユースケース
運用管理の効率化
運用管理 効率化
在宅勤務 パンデミック/災害対策 出先機関
端末復旧迅速化 交換のみで業務再開
シングルイメージ化 アプリ・年次に依らない単一イメージ運用
端末ライフサイクル長期化 故障率低下/調達回数の削減
本庁舎
VDIの目的とユースケース
セキュリティ – 情報漏えい対策 -
情報漏えい対策
セキュリティ OSパッチレベルの統制 イメージ配信で確実で統一化されたOS環境
ウィルス対策セキュリティの統制 ハイパーバイザー型ウィルス対策
アプリケーションの統制 個人アプリインストールによる脆弱性防止
外部記憶装置の制御 USB/メディア装置のコントロール
ネットワークセキュリティ 拡散型脅威への対策
1端末で、2つの異なるネットワークにセキュアにアクセス 用途に応じた3つの方式を選択
基幹系NW 専用VDI
情報系NW 専用VDI
業務用 VDI
業務用 アプリケーション
VDI方式 2つのVDIを切り替えて利用
PC+VDI方式 既存PCとVDIの並行利用
PC+SBC方式 既存PCと
仮想アプリケーションの併用
シンクライアント ゼロクライアント
物理PC 物理PC
VDI/SBCを利用し、2つの分離されたネットワークに 1端末でアクセスし、セキュアに業務をすることが可能
課題 成果
生産、販売、購買などの業務部門において、業務系アプリケーションを利用するPC端末のパフォーマンスが低下
社外での生産性を高める端末環境の整備と、端末の持ち出しにおけるセキュリティの強化
ビジネス環境の変化に柔軟に対応するためのワークスタイル変革、機動力の向上
VMware Horizonを活用したVDIにより、端末のパフォーマンスが向上し、生産・物流業務がスピード化
VDIによって端末の管理作業が不要となり、担当者は本来業務への専念が可能に
iPad導入とVDIでモビリティが向上し、営業担当の顧客対応や提案レベルが向上
AirWatchによるタブレット端末やアプリケーションの安全な管理で、顧客からの信頼を獲得
VMware HorizonとAirWatchにより、社内外を問わず、安全かつ快適に業務ができるモバイル環境を構築。高い機動力を備えたワークスタイル変革を実現
図:アーレスティが推進するAirWatchを活用したワークスタイル変革
「社外に持ち出したモバイルデバイスとアプリケーションのセキュリティレベルを高めることを重視してモバイルマネジメントソリューションを検討した中で、デバイス、アプリケーション、メールのすべてを包括的に管理できる製品はAirWatch 以外にありませんでした」
株式会社アーレスティ ITシステム部 部長 高橋 新一 氏
株式会社アーレスティ
課題 成果
物理PCの端末トラブル対応やメンテナンス、セットアップの作業工数が、従来と比較して約1/5に削減
工数削減で生まれた時間で、IT部門のスタッフがICT設備の利用向上将来の拡張に向けた計画策定など企画立案型の業務に専念
時間や場所に制約されることなく、いつでも3次元CADソフトウェアなど利用した学修が可能
物理PCの1台ごとのセットアップやOSアップデート、システム復元などに、多大な時間と手間が発生
3次元CADや統計解析などのソフトウェアは高性能PCが設置された実習室のみで、かつ決められた時間内での利用に限定されていた
学校法人鶴学園 広島工業大学 様
全学生4,519人が、いつでも、どこでも利用できるVDIを導入
3次元CADソフトウェアも利用可能で、学修効果が大きく向上
図:「仮想デスクトップ教育基盤システム」の概要
「これまで個別の物理PCに対して行っていた トラブル対応やメンテナンス、セットアップなどの作業工数は、VDIの導入によって1/5に削減されました。そして、3次元CADソフトウェアの環境を、学生たちが時間や場所の制約を受けることなく自由に使えるようになったことで、学修効果を飛躍的に高めています」
情報化推進室 室長
伊藤 敦 氏
課題 成果
ストレージ仮想化テクノロジーを活用し、VDI導入コストを抑制
VDI基盤のもと、秘匿性の高い情報をサーバ側で一元管理した厳重な統制を実現
端末のゼロクライアント化により、いつでも、どこでも情報入力や参照が可能
秘匿性の高い患者情報がローカルPCで個別管理されておりセキュリティリスクを懸念
PCの設置場所が限られており、情報入力や参照のたびに現場を離れればならずロスが発生
増大するPCのトラブルやメンテナンス対応で運用管理担当者の負荷が増大
特定医療法人 万成病院
VMware Virtual SANでストレージを仮想化し、低コストでVDI導入
業務生産性の向上で、臨床にかける時間を増やして医療サービスを充実
「院内の医療従事者430名が使用するPC端末をすべて仮想デスクトップに移行し、VDIの基盤では、VMware Virtual SANによるストレージ仮想化を採用し、VDI導入のコストを抑制しました。医師・看護師のリアルタイムな情報共有が実現され、それにより効率化された時間を、臨床へより多く割当が可能になり、医療の質の向上に貢献しています」
情報システム課 主任 上級医療情報技師 河田 智之 氏
図:万成病院のシステム構成イメージ
デバイス管理とWorkspace管理
MDM デバイスを管理
コンテナ化 Workspace の管理
ハイブリッド
例: BYOD
例: 企業所有
デバイス管理で、アプリ管理に 加え、カメラの使用拒否など デバイスの細部まで管理が可能
Workspace管理で、個人用アプリと業務用アプリを分離して管理
世界で 14,000 社以上の顧客の実績
25
Retail & CPG Transportation
Restaurants & Hospitality
Energy
FSI & Insurance
Healthcare Pharma & Medical Devices
Education
【国内事例】 銀行、証券業、流通業、中央官庁、テレビ局、学校、人材派遣会社、イベント運営会社、ゲーム開発会社など各業界でご採用いただいております。
No 顧客 ライセンスバンドル 提供形態 台数
1 流通 Green 専用クラウド 30,000
2 金融 Blue 専用クラウド 20,000
3 金融 Green 共用クラウド 740
4 金融 Green 共用クラウド 240
5 金融 Green 共有クラウド 200
6 建築 Green 共用クラウド 215
7 放送 Blue 共用クラウド 500
8 製造 Green 共用クラウド 5,000
9 製造 Blue 専用クラウド 800
10 人材 Green 共用クラウド 2,000
データに見る現在のセキュリティ事情 日本のセキュリティ投資の現状と踏み台サーバーの推移
出典: 株式会社MM総研 日米企業の情報セキュリティ投資動向 ―セキュリティ対策で後れをとる日本企業― http://www.m2ri.jp/newsreleases/main.php?id=010120131226500 出展 : トレンドマイクロ社 「国内標的型サイバー攻撃分析レポート 2015年版」
http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20150409062703.html
米国に比べ 高度セキュリティ対策への 投資が少ない傾向
2013年と2014年では 日本へのアプローチが一変
日米製品別セキュリティ投資費用比較 年次別踏み台サーバーの設置場所推移
情報系PCにおけるインターネット接続の必要性と 情報漏洩に関連する4つのセキュリティ的特徴
マルウェア感染による情報漏洩 脆弱性による情報漏洩
ブラウザソフトウェア (例: IE/Firefox/Chrome等)
メールクライアント (例: Outlook等) 情報系PC
ファイルサーバー
情報 収集
メール 受信
メール 送信
データ 保存
データ 取得
情報 送信
メールにて外部とのやりとりを行うため インターネットへの接続が必須
ゼロデイ攻撃のため、標的型攻撃によるマルウェア対策として ウィルス対策ソフトウェアでは完全に防ぐことができない
マルウェア感染後に、PC間の通信により、被害が拡大する 管理者権限を持つPCから、重要な機密データが盗難されてしまう
2
3
4
脆弱性を突いたWEBサイト経由の 情報漏洩タイプも増加しつつある 例:Flash Playerの脆弱性
1
インターネット
マルウェアの侵入から情報漏洩までの流れとその特徴
インターネット
障害福祉課 経理課 母子課 ファイルサーバ
機密
攻撃者
アクセス 権限者
メールによる侵入
通常ファイルサーバーの 機密データへのアクセスは権限によって制御
権限保持者まで感染が拡大
1
2 3
メールという必須利用ツール経由のため
使用不可という選択肢が取れない
ウィルス対策ソフトウェアでも検知できない ゼロデイ攻撃型で非常に巧妙
情報漏洩されたことすら気づけない
マルウェアに対する情報漏洩リスクの最小化 物理PCでのセキュリティ保護の限界
物理ファイアウォールによる
境界型セキュリティの限界
セキュリティゾーン セキュリティゾーン セキュリティゾーン
感染拡大リスクの増大化 ゾーン内での拡散防止は実質不可能
PC同士の通信は制御不能 ほぼ不要にも関わらず、通信できてしまう
マルウェアに対する情報漏洩リスクの最小化 仮想デスクトップ+ネットワーク仮想化による「マイクロセグメンテーション」
ブロックログによるマルウェア検知
仮想マシン単位のセキュリティ セキュリティゾーンの最小化
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
セキュリティ ゾーン
必要最低限の通信のみ許可 そもそもデスクトップ間通信はほとんど不要
マルウェア感染前提の拡散防止および検知対策が可能
VMware NSXによる 分散ファイアウォール
分散ファイアウォールのトラフィックブロックログの 傾向から見る不正アクセスの検知
7時 8時 9時 10時 11時 12時 13時 14時 15時 16時 17時 18時 19時 20時 21時 22時
100
トラフィックブロック数
ウィルス対策ソフトウェアが検知できないゼロデイアタックに対して ブロック数の傾向により、感染の可能性を考える
そもそも発生するはずのない PC間通信が発生していることから
感染拡大の傾向を検知
OSイメージの強制配布
マルウェアに対する情報漏洩リスクの最小化 仮想デスクトップのメリット
ログオフ時に 毎回リフレッシュ
マルウェアが機会を狙って 拡散していくことを防止
マルウェア感染発覚時に 初期対応として全台リフレッシュ
VDI全体の一斉初期化
マルウェアの長期滞在の防止 マルウェア発覚初動対策としての初期化 OSパッチやウィルス定義ファイルの最新性
セキュリティレベルのズレを狙ったリスクの最小化
NSXによるネットワーク仮想化とは?
• オーバーレイ実装(Hardware非依存型)
– エッジ側でインテリジェントな機能を実装し、トンネリングすることで 物理ネットワークから分離
– ネットワークサービス全てをソフトウェアで実行し、集中制御
vS
wit
ch
論理ネットワーク
Load Balancer
Firewall
NW コントローラ
既存のスイッチ
トンネリング
vS
wit
ch
任意のアプリケーション
仮想ネットワーク
VMware NSX ネットワーク仮想化プラットフォーム
Logical Switch
任意の物理ネットワーク
任意のクラウドマネジメントプラットフォーム
Logical Firewall
Logical Load Balancer
Logical Router
Logical VPN
任意のハイパーバイザ
Logical Switch Layer3の物理ネットワークを越えて構成できるLayer2ネットワーク
Logical Router 論理ネットワークの中でルーティングを完結させる高効率な分散ルーティング
Logical Firewall シンプルなダイナミックポリシー& カーネルに組み込まれた高性能分散ファイアウォール
Logical Load Balancer アプリケーションレベルのロードバランシングとSSL Termination
Logical VPN 豊富なサイト間、オンプレ~DC間VPN IPSec VPN / L2VPN / SSL VPN
NSX API 様々なCMPと連携可能な RESTful API
Partner Eco System ユーザーの選択肢を更に広げるパートナー連携
VMware NSXの提供機能
36
VMware NSX のお客様事例と実績
NSX のお客様
550 社以上
(四半期ごとに 25 ~ 50 の増加)
100 社以上
NSX に 100 万ドル以上投資した企業
50 社以上
本番環境での展開
国内の実績(Serviceprovider/Telecom)
http://www.iij.ad.jp/GIO/bp/dp_ns016.html
デザインテンプレートに採用
インターネットイニシアティブ様
http://www.ntt.com/release/monthNEWS/detail/20130627_2.html
NTTコミュニケーションズ様
SDNによるクラウドマイグレーションサービスで採用
国内でも既に商用サービスで採用・利用されています。
業務用とインターネット参照用ブラウザ分離をクラウドで実現
多くの公共機関ではインターネットアクセス用のブラウザを別で用意しセキュリティを強化されておりますが、その仕組みをクラウドを利用して構築することができます。
画面転送
インターネット
Horizon Air (*)
メリット
• 初期費用の削減(余計なHWを持たずに済む) • 必要に応じてすぐにスケール可能。初期のサイジングで失敗し
ても柔軟な対応が可能 • VPN/ FW はクラウドサービスに含まれているので、新規購入
の必要ない。 • vCloud Airの持つセキュリティレベルを教授 • 海外のデータセンターなども併用することが可能
• Web 脅威対策の1つとして、インターネットアクセスに対して、デスクトップ上のブラウザを利用せず、外部のセキュアな環境でのブラウザを活用するニーズが高まっている
• オンプレミスでの構築も可能だが、HW環境の準備や運用など管理負荷が高いことが課題である
背景・課題
ローカルブラウザでは外部アクセスできない VPN / 専用
線
VMware Cloud Service
Horizon Air
Horizon Air を活用したインターネット接続端末仮想化
vCloud Air サーバールーム
庁内
庁内
既存物理端末
Internet
RDSH 1000 デスクトップ
Active Directory
2 3 1
1.デスクトップ作成 2.ユーザ割り当て 3.ユーザログイン
個別 デスクトップ
アプリケーション メニュー
共有 デスクトップ
・標的型攻撃からのリスクを最小化し個人情報保護を実現 ・契約、外注者への 一時払い出し
どこでも
IPVPN
ウイルス対策ソフト管理サー
バー Active Directory
・インタ-ネット ・Office.
VDI 課題 ・庁内からセキュアにSCLへアクセスする方法(双方向のファイル交換) ・ファイルアクセスのログを取る方法(誰がいつファイルをUp.DLしたか) ・セルフサービスで個人コンテンツをブラウザアクセス
インターネットアクセス不可
インターネットアクセスOK
iFilter等のフィルタリングは?踏み台サーバーへの通信を検知・フィルタリング
SCL Remote file
storage
誰が、どのファイルを、いつ、操作したか
・WindowsであればADで監査ログを有効 ・LogiNsight(Agent入れて)
他社、ログストレージ
LANスコープCAT
・ファイルサーバーで暗号化する
デバイス、アプリ、OSの管理
簡単過ぎるの仮想デスクトップサービス
お客様から提供・管理
VMwareが提供管理 ハードウェア サポート
ファシリティ
ソフトウェア
初期費用なし
難しい設計なし
運用は仮想デスクトップのみ
VMwareのフォーカスエリア
Software-Defined Data Center
ハイブリッド クラウド
End User Computing
モバイル クラウド時代における お客様の成功のため
“Software-Defined Enterprise”の実現を支援
コンピューティング
物理環境 ハードウェア
ポリシー ベースの管理および自動化
クラウドの自動化 クラウドの運用 クラウド ビジネス
Software-Defined Data Center
プライベート クラウド
パブリック クラウド
ハイブリッド クラウド
VMware および vCloud Data Center
パートナー
仮想インフラ抽象化とプール化
コンピューティング の抽象化 =
サーバ仮想化
ネットワーク
ネットワーク の抽象化 =
仮想ネットワーク
ストレージ
ストレージの抽象化 = Software-
Defined Storage
アプリケーション
エンド ユーザ コンピューティング
デスクトップ モバイル
仮想ワークスペース
最新型 SaaS 従来型
Software-Defined Enterprise
Top Related