Japan

サイト内の現在位置を表示しています。

VMware Horizon - マイクロセグメンテーション

マルウェアから情報を守るマイクロセグメンテーション

デスクトップ仮想化+VMware NSX マイクロセグメンテーションでマルウェアの拡散を防止
仮想デスクトップ単位の仮想ファイアウォールで、不審な通信を検知・遮断します。

PC 環境におけるマルウェア対策の課題

未知のマルウェアに感染した PC の遮断 という考え方

 “PC がマルウェアに感染したことにより情報漏えいが発生” してしまう問題に対して、体制の強化、対応マニュアル整備、社員・職員の教育など、組織として取り組むべき点はありますが、システムで取り得る対応を考えると「感染マシンを遮断できていれば被害を最小限に食い止められた」のではないかと考えられます。マルウェアへの対策としては、一般的に次の3つが考えられます。

  1. ウィルス対策ソフトでの検知
    セキュリティソフトでマルウェアを検知できれば、感染マシンを自動的に遮断できるのですが、新種のマルウェアの場合などセキュリティソフトで検知できないものもあります。

  2. ネットワーク通信のモニタリング
    ネットワーク通信を監視し不審な通信を検知する対策は可能ですが、検知しアラームを上げるだけではマルウェアの感染拡大を防ぎきれません。

  3. ネットワークファイアウォールでの通信遮断
    2に加えて、ネットワーク上でファイアウォールを設定し不審な通信を遮断するという対策が必要です。

1, 2は導入済みだが3はすべての PC に対して適用するには運用が煩雑で対応がむずかしいため、基幹ネットワークへの接続口やサーバーへのアクセスルート上のファイア ウォールのみに設定しているというケースが多く、この場合 PC から PC への感染拡大を防げないのではないでしょうか。

zoom拡大する

標的型攻撃への防御

マイクロセグメンテーション = デスクトップ仮想化 + VMware NSX

zoom拡大する

感染 PC からのマルウェア拡大対策として「マイクロセグメンテーション」という方法を紹介します。
従来のネットワークセグメントは、ルーター(とファイアウォール)で区切られており、ネットワーク上のファイアウォールで末端 PC の通信まで制御するには限界がありました。
そこで、「マイクロセグメンテーション」の出番です。
セ キュリティセグメントを従来のネットワークセグメントに依存させずデスクトップ単位まで最小化、デスクトップ単位で仮想ファイアウォールを設置することで 不審な通信を検知し遮断する解決策です。1台のデスクトップがマルウェアに感染した場合でも、デスクトップごとに仮想で設置したファイアウォールが通信を監視しますので、感染後もデスクトップ間の不審な通信を検知・遮断できるのです。

  • ネットワークセグメントでのファイアウォールでもできる
    いいえ、運用面を考慮すると非現実的です。
    アプライアンス型ファイアウォールはネットワークセグメント間でしか機能しません。ネットワークレベルで実装する場合は、 すべてのスイッチのポートで MAC アドレスベースのアクセス制御設定が必要で、日々の運用を考慮すると非現実的です。
  • Windows 標準のファイアウォールを使えばいい
    いいえ。
    OS 上で動作するファイアウォール機能では、マルウェアに感染することにより、OS 設定を変更されたり設定情報を認識してリモートから動作をコントロールされることにより、不正な通信を遮断できません。

資料