【インタビュー】

[VMworld 2017] 「マニフェスト」でアプリとデータを保護する「AppDefense」のアプローチとは?

米VMwareは8月27日、同社の年次テクニカルカンファレンス「VMworld 2017」において、仮想化環境やクラウドで稼働するアプリ向けのセキュリティ対策製品「VMware AppDefense」を発表、同日より提供を開始した(日本での提供開始日は未定)。

かねてから「Project Goldilocks」として開発されてきた同製品は、「不正な挙動を検知する」のではなく、「通常の稼働状況とは異なる振る舞いがないかどうかを監視する」というアプローチで攻撃を検知する。2秒間に1つの新たなマルウェアが登場する現状においては、「マルウェアの発見は乾草の中から1本の針を見つけだすようなもの」と表現されるほど効率が悪く、誤検知も多発している。

VMwareセキュリティ製品担当シニア バイスプレジデントのTom Corn(トム・コーン)氏は、「AppDefenseは、アプリケーションやサービスの実行と関係がない部分を排除し、本当に監視が必要な領域だけにフォーカスする。監視するデータ量を減らすことで誤検知を減らし、本当のマルウェアの"漏れ"を防止する」と語る。

VMwareセキュリティ製品担当シニア バイスプレジデントのTom Corn(トム・コーン)氏

同氏は8月28日、日本メディアのグループインタビューに応じ、AppDefenseの特性について「AppDefenseの動作は、『VMware NSX』に備わっている仮想マシン単位のセキュリティ対策の『マイクロセグメンテーション』が目指したものと似ている。分散ファイアウォールと同様に、すべての仮想マシンに対してアプリケーションの動作が意図する行動やその目的を監視するものだ」と説明した。

AppDefenseの動作は「取得(CAPTURE)」「監視(DETECT)」「対処(RESPOND)」の3つに大別される。その仕組みはこうだ。

AppDefenseの動作は「取得(CAPTURE)」「監視(DETECT)」「対処(RESPOND)」の3つに大別される

取得では、アプリケーションの正常稼働を把握するためのデータ群を収集する。具体的には、管理ツールである「VMware vCenter」からはマシンのインベントリに関するデータをはじめ、プロビジョニングツールである「Chef」や「Puppet」などから「どのようなアプリが、どのようなサービスを提供しているのか」といったデーを取得する。さらに、コマンド&コントロールサーバなどのIP/DNSをリスト化した「Reputation Feed」など、他のソースからもデータを取得する。

こうして収集したデータを基に作られるのが「マニフェスト」だ。ここにはアプリケーションの正常稼働とマシンの構成が定義される。監視ではこのマニフェストを基準とし、マシンの稼働状況をリアルタイムで監視する。「マニフェスト」から逸脱したふるまいを検知した場合は、該当するアプリケーションを遮断したり、仮想環境を変更させたりして対処する。Corn氏は、「vSphereとVMware NSXとの連携で、対処を自動化できる」と主張する。

通常の稼働状況とは異なるふるまいがないかどうかを監視する」というアプローチで攻撃を検知

2700万の監視対象が91に

Corn氏がAppDefenseのメリットとして強調するのは、検知の効率化だ。「マニフェストに沿った挙動は、監視対象とする必要がない。このアプローチを取ることで、従来であれば2700万もの監視対象だった動作が、わずか91(の監視対象動作)で事足りる」と語る。

また、AppDefenseには、iOSやAndroid OS上で稼働する「モバイルコンパニオンアプリ」が包含される。同モバイルアプリは、仮想マシン上でアプリを稼働させているオーナー向けのものであり、仮想マシン上のアプリを監査/トラッキングできる。仮想マシン上のアプリに異常行動が確認された場合は、セキュリティ担当者とアプリオーナーにポップアップが届き、攻撃の状況を確認・対応できるという。

「これまでセキュリティ担当者は、インフラチームと共同作業することが大半だった。しかし、われわれが保護したいのは、データとアプリケーションだ。そのためには、アプリケーションのオーナーとセキュリティ担当者が密に連携を取り合いながら、情報を共有できる環境が必要だと考えた。セキュリティ対策は『0か1』ではない。状況に応じ柔軟かつ段階的なアプローチを撮れる仕組みが重要だ」(Corn氏)

Corn氏は「セキュリティ対策にはアプリオーナーとセキュリティ担当者のコラボレーションが不可欠だ」と主張する

AppDefense自体はクラウドサービスとして提供されるが、オンプレミス環境でもパブリッククラウド環境でも利用できる。また、「Carbon Black」や、米IBMの「QRadar」など、他ベンダーのセキュリティ対策と連携する。例えば、 Carbon Blackのレピュテーションサービスにはデータフィードを提供し、QRadarにはセキュリティインテリジェンスサービスを強化するデータを提供するという。

Corn氏は「AppDefenseは、いわば仮想化アーキテクチャインのセキュリティ対策製品だ。そこで実現できる対策は、後付け製品とは一線を画すものだ」と語っている。

関連キーワード


人気記事

一覧

イチオシ記事

新着記事