NTTスマートコネクト、クラウド上で高度なセキュリティ対策「VMwareマイクロセグメンテーション」提供開始

NTTスマートコネクト株式会社（大阪府大阪市）は、クラウドサービス「SmartConnect Cloud Platform（Type-S）」において、「VMwareマイクロセグメンテーション」メニューの提供を開始しました。これにより、システム内部への侵入拡大を防ぐ「ラテラルムーブメント対策」が可能となり、高度化するサイバー攻撃に対し、より堅牢なセキュリティ対策を実現します。

クラウドサービスに新セキュリティメニュー導入

見出し

1 クラウドサービスに新セキュリティメニュー導入
2 高度化するサイバー攻撃への対応
3 「VMwareマイクロセグメンテーション」の概要と特徴
4 提供開始日と関連情報
- 4.1 ソース元

近年、サイバー攻撃は複雑化しており、システムの出入口での対策（境界型防御）だけでは不十分とされています。一度システム内部に侵入された場合、その脅威がネットワーク内で水平方向に拡大する「ラテラルムーブメント」を防ぐことが、より堅牢なセキュリティ対策として求められています。

NTTスマートコネクトは、このようなニーズに応えるため、仮想マシン間の通信制御を可能とする「VMwareマイクロセグメンテーション」メニューを導入しました。このメニューは、VCSP認定パートナーである同社がBroadcom社の「VMware vDefend Firewall」製品を活用し、仮想マシン間の同一セグメント内の通信を制御する「Distributed Firewall（分散ファイアウォール）」を提供するものです。特に、本製品の分散ファイアウォールにおけるIDS/IPS（侵入検知・防止）機能は、日本国内で先駆けて提供される機能としています。

高度化するサイバー攻撃への対応

「VMwareマイクロセグメンテーション」メニューの導入により、「SmartConnect Cloud Platform（Type-S）」の環境において、仮想マシン1台単位でのきめ細やかな通信制御が可能となります。これにより、従来は難しかったシステム内部での侵入拡大を防ぎ、より強固な防御体制を築くことができるとNTTスマートコネクトは説明しています。

ラテラルムーブメント対策のイメージは以下の通りです。

「VMwareマイクロセグメンテーション」の概要と特徴

本メニューは、「VMware vDefend Firewall」製品を活用し、「SmartConnect Cloud Platform（Type-S）」上のハイパーバイザー（ESX）上で動作する「Distributed Firewall」を提供します。従来の境界型防御では、LAN内の通信制御にVLANの細分化や境界型ファイアウォールの経由が必要であり、ネットワーク構成の複雑化や同一セグメント内での通信制御に課題がありました。

このメニューを導入することで、仮想マシン間における同一セグメント内の通信を制御（マイクロセグメンテーション）できるため、「ネットワーク構成のシンプル化（運用管理の効率化）」と「ラテラルムーブメントの防止（堅牢なセキュリティ対策）」が実現できるとしています。

主な機能は以下の通りです。

仮想マシン単位の制御: 仮想マシンのNIC（ネットワークインターフェース）の直前で通信制御を行うため、同一セグメント内でも不要な通信を検知・遮断できます。
高度なL7フィルタリング: MAC/IPアドレスやポート番号だけでなく、アプリケーション種別（App-ID）やドメイン名に基づいた高度なフィルタリングが可能です。
IDS/IPS（侵入検知・防止）: 約数万件のシグネチャを用いて、既知の脆弱性を狙った攻撃や不正な通信を検知し、通信を遮断することが可能です。
柔軟な設定管理: 仮想マシン名やOS種別、タグを用いたグループ化により、グループ単位でのポリシー管理が可能です。
ログの保存と可視化: 通信ログの収集、ダッシュボード等による可視化、アラート等のメール通知が可能です（「VMware Aria Operations for Logs」製品との連携）。※別途オプションメニュー「VMwareマイクロセグメンテーション（ログ管理）」の申し込みが必要です。