トレンドマイクロ株式会社

侵入後の被害を最小限に抑える
拡散防止型セキュリティを実現

概要

課題

VDIを刷新するにあたり、注目度の高い最新の技術を採用。自社のセキュリティ製品を組み合わせて利用し、実践的なノウハウも蓄積したい

解決策と効果

VMware NSXとTrend Micro Deep Security™ Virtual Applianceを連携させた拡散防止型セキュリティを実現。その経験・知見を顧客に還元していける体制を整えた

"トレンドマイクロ社内の IT 環境を整備すると同時に、お客さまにも還元できる知見を蓄積していく。この2つが我々の重要なミッションです"

トレンドマイクロ株式会社
インフォメーションサービス本部 インフォメーションテクノロジー部 部長代行 兼
ソリューションサービス課 課長 兼 インフラストラクチャーサービス課 課長
山田 剛

導入の背景

創業以来、トレンドマイクロは各種セキュリティ製品・ソリューションの提供を通じて「デジタルインフォメーションを安全に交換できる世界」の実現を目指しています。そのために自らのIT環境においても様々な最新技術の導入にチャレンジ。

さらには自社のセキュリティ製品・ソリューションを率先して適用することでノウハウを蓄積し、顧客への最適な提案の礎としています。

「お客様は、セキュリティベンダーがどのような対策を実施しているのかに大いに関心を持っておられます。我々自身の取り組みを公開したり、そこで得たノウハウを還元することで、より強固なセキュリティを実現できるとともに、当社のソリューションを採用する際の安心感にもつながると考えています」とトレンドマイクロの山田 剛は言います。

課題

VDI(Virtual Desktop Infrastructure)における取り組みもその1つです。
以前からトレンドマイクロでは、社外でPCを利用する頻度の高い営業や経営層などを対象にVDIを提供してきました。既存のシステムは、利用者をできるだけ絞り150名のユーザーを上限としていましたが、新たに適用範囲を拡大し500名規模のシステムを構築しています。「例えば、サポート部門が今以上に積極的にVDIを利用すれば、災害時などにもサポートサービスを継続でき、お客様の事業継続に貢献できます」と同社の今泉 芳延は話します。

選定理由

新たなVDIの構築にあたり、トレンドマイクロは仮想化プラットフォームとして「VMware vSphere」、そして、ネットワーク仮想化プラットフォーム「VMware NSX」を採用しました。
この2つのプラットフォームを組み合わせれば、インフラそのものを仮想化することが可能。サーバの仮想化はもちろん、サーバの内蔵ディスクを活用して仮想的にストレージボリュームを構成する「VMware Virtual SAN」を利用すれば、高額なストレージ機器を購入せずに済みます。また、VMware NSXも、スイッチやルータ、ファイアウォール、ロードバランサといったネットワーク機能を仮想化して、ネットワーク機器のダウンサイジングを行え、不必要な機器の追加がなくなることからコストの削減につながります。  さらに、従来は物理的な機器に対して、コマンドラインの入力などを行いながらインフラを構築していましたが、導入後は、サーバ、ストレージ、ネットワークのすべてをソフトウェア制御できるようになり、構築時や設定変更時の工数を削減できます。  「特にネットワークを仮想化するVMware NSXは、現在、多くの企業が期待している技術の1つです。お客様に先駆けて、新しい技術を積極的に採用していくという目的を達成する上では欠かせないと判断しました」(山田)

加えて、VDIにおけるセキュリティ強化に活用したのが、トレンドマイクロの「Trend Micro Deep Security™ Virtual Appliance (以下、DSVA)」です。VMware NSXとDSVAを連携させれば、ウイルス対策などのエンドポイントセキュリティに加え、「マイクロセグメンテーション」という仕組みがより効果的に実現できるからです。
具体的に、マイクロセグメンテーションとは、マルウェアの侵入防止を目指す従来の対策とは異なり、マルウェアに侵入された後の被害拡大を抑止するための仕組みです。「脅威の悪質化などによって、マルウェアの侵入を完全に防ぐことが困難になりつつある昨今、被害の最小化は、セキュリティの新しい考え方としてトレンドマイクロも注力している領域です。それをVDIにおいて実践してみようと考えたのです」と今泉は話します。

ソリューション

ネットワークを仮想化するVMware NSXを利用すれば、仮想NIC単位という最小単位でネットワークをセグメント化できます。その最小単位のネットワークセグメントの境界に仮想ファイアウォールを設置するのがマイクロセグメンテーションです。
この仮想ファイアウォールとDSVAを連携させれば、インシデント対応の自動化が可能になります。DSVAが仮想PC内のマルウェアを検知すると、そのことがVMware NSXに伝えられ、仮想ファイアウォールによって、その仮想PCを自動的にネットワークから隔離して、通信を遮断するのです。その後、マルウェアの駆除、ネットワークへの復旧までを自動化することも可能です。
「マルウェアの侵入後、被害の拡大を最小限に抑えるには初動対応が重要になりますが、感染PCの利用者からのエスカレーションを受け、状況を確認し、手動で隔離、駆除を行うといった人手での対応では限界があります。マイクロセグメンテーションによって対応を自動化させておけば、管理者にエスカレーションされるのは、すでに隔離されているというアラートです。迅速かつ的確な初動対応が実現し、被害を最小限に抑えることができるのです」と山田は言います。

トレンドマイクロのVDI構成イメージ

導入効果

VMware vSphereとVMware NSX、そして、DSVAによる新しいVDIは、マイクロセグメンテーションによる安全性だけでなく、安定性、性能の面でも非常に優れた成果を挙げています。「トラブルはほとんどない上、以前のシステムよりレスポンスが向上したと評判です」(今泉)。
 また、運用が容易になったことも大きな成果です。
 インフラそのものを仮想化することで、構築や設定変更時の工数が削減できることはすでに述べましたが、セキュリティの設定についても効率化されています。
 「DSVAを利用すれば、仮想PCを作成する際にセキュリティ設定が自動適用されるようになっています。また、マイクロセグメンテーションに関しても、初期のファイアウォール設定だけ行えば、その後は自動適用されるようになっており、『つなげばすぐに動き出す』という印象です」と今泉は説明します。仮想PCごとにファイアウォールの設定を変えたい場合は、VMware NSXを通じてグループ単位で仮想ファイアウォールの設定を一括変更するといったことも可能です。
 今回の取り組みを通じて、トレンドマイクロは様々な知見を得ることができました。「最適な性能を引き出すためのリソース設計など、ユーザーの立場で利用したことが大きな気付きにつながっています」と山田は強調します。今後、この経験が製品やソリューションのさらなる進化、ひいてはお客様のビジネスの保護につながると確信しています。

※ 記載内容は2016年7月現在のものです。内容は予告なく変更される場合があります。