© 2014 VMware Inc. All rights reserved. © 2014 VMware Inc. All rights reserved.

ヴイエムウェア株式会社

広域パートナー営業部 高橋 良裕

セキュリティ強化の為の仮想化 ～マイナンバー対策、インターネット端末保護～

2

企業概要（World Wide) VMware, Inc. • 設立： 1998年

• 全従業員： 約14,500名

• ユーザー企業数： 500,000社以上

• お客様のプロファイル ： Fortune 100企業の100 Fortune 1000企業の99％

2013年度のビジネスアップデート • 売上高： $52.1億ドル

• 前年同期比成長率： 13％

企業概要（日本） ヴイエムウェア株式会社 • 設立： 2003年

• 国内のパートナー： 2,000社以上

売上推移

VMware 会社概要

<国内の代表的なお客様(ロゴ使用許諾済み企業様)>

サーバ仮想化 プライベートクラウド

Source: 株式会社ミック経済研究所, サーバ仮想化&オンプレミス型プライベートクラウドの市場展望2012 サーバ仮想化ソフト別 サーバ仮想化ソリューション売り上げ サーバ仮想化ソフト別 プライベートクラウドソリューション売り上げ

プライベートクラウドは、サーバ仮想化を導入し、IT基盤の共通化、及び運用の標準化・統合管理を行っているソリューション案件

VMware vSphere,

83.6%

A社, 1.6%

B社, 0.8%

C社, 8.9%

D社, 1.7%

その他 3.4%

VMware vSphere,

92.8%

A社, 0.6%

B社, 0.1%

C社, 4.6% D社, 0.7% その他, 1.2%

国内シェア

最も売れている仮想デスクトップベンダー

仮想デスクトップのジャンルでも日本シェアNO.1

40.4%

37.7%

12.2%

9.7%

2013 (H1) VDI Vendor Share in Japan

VMwareVendor 2Vendor 3Others

Source: IDC Asia/Pacific Centralized Virtual Desktop 2013–2017 Forecast and Analysis: First Look at 2013 , Doc# AP8523401T, Oct 2013

アジェンダ

1 なぜ仮想化が必要か？

2 モバイルデバイスは？

3 仮想化技術を活用したマイナンバー・インターネット端末対策

なぜ仮想化が必要か？

悪意のあるプログラム感染後の拡散防止 ~高度化する脅威への新たなセキュリティモデルの必要性

従来の侵入防止型セキュリティモデルだけでなく 被害を最小限に抑える”拡散防止型セキュリティモデル”も必要

オンラインバンキングの不正利用

内部不正による情報漏洩

標的型攻撃による諜報活動

2015年版

仮想化とは？

仮想化されたシステム

VMware

従来通りのシステム

OS

アプリケーション

１つのハードに１つのOS ハードとOSの分離はできない

仮想化されたハードに複数のOS ハードとOSとの分離ができる （仮想化されたハード上で動作するOSをゲストOSと呼ぶ）

メーンフレームの時代から培われてきた技術

VMwareがIAサーバ上で初めて仮想化を実現

仮想的なハードウエア

Operating System

Application

Operating System

仮想マシンA

ハイパーバイザー（Hypervisor）

Operating System

Application

Operating System

仮想マシンB

Operating System

Application

Operating System

仮想マシンC

ゲストOSはあたかも機械の上に

いるように動いているが、実際は

仮想的な機械で動いている

仮想化を実装するソフトウェア（ハイパーバイザー）が 仮想的なハードウェアをゲストOSに提供

コスト削減

理由

可用性向上

理由

セキュリティと 利便性の向上

理由

仮想化に取り組む理由

サーバー仮想化による可用性の向上

システムを止めることなく、物理サーバ間を移動できる︕

サーバA サーバB

メンテナンス中 稼働中

メンテナンス時の

ダウンタイムが

ゼロに︕

※vMotionによる機能です。

サーバがダウンしても、稼働中の別サーバで再起動︕

サーバA サーバB

障害発生 稼働中

業務への影響が

最小限に︕

※High Availability（HA）による機能です。

ストレージの

メンテナンスや交換も

ダウンタイム無し︕

※Storage vMotionによる機能です。

仮想環境の

健全性、リスク、効率性

を見える化︕

※vSOMによる機能です。

ストレージデータの移動時も、仮想マシンを止めません︕ インフラの監視も、より簡単に︕より確実に︕

ミッションクリティカルなシステムの可用性を向上！

デスクトップ仮想化

VDIの目的と、前提のコスト効果

情報漏えい対策

セキュリティ 運用管理 効率化

\

VDIの目的とユースケース

運用管理の効率化

運用管理 効率化

在宅勤務 パンデミック/災害対策 出先機関

端末復旧迅速化 交換のみで業務再開

シングルイメージ化 アプリ・年次に依らない単一イメージ運用

端末ライフサイクル長期化 故障率低下/調達回数の削減

本庁舎

VDIの目的とユースケース

セキュリティ – 情報漏えい対策 -

情報漏えい対策

セキュリティ OSパッチレベルの統制 イメージ配信で確実で統一化されたOS環境

ウィルス対策セキュリティの統制 ハイパーバイザー型ウィルス対策

アプリケーションの統制 個人アプリインストールによる脆弱性防止

外部記憶装置の制御 USB/メディア装置のコントロール

ネットワークセキュリティ 拡散型脅威への対策

1端末で、2つの異なるネットワークにセキュアにアクセス 用途に応じた3つの方式を選択

基幹系NW 専用VDI

情報系NW 専用VDI

業務用 VDI

業務用 アプリケーション

VDI方式 2つのVDIを切り替えて利用

PC+VDI方式 既存PCとVDIの並行利用

PC+SBC方式 既存PCと

仮想アプリケーションの併用

シンクライアント ゼロクライアント

物理PC 物理PC

VDI/SBCを利用し、2つの分離されたネットワークに 1端末でアクセスし、セキュアに業務をすることが可能

事例のご紹介

課題 成果

生産、販売、購買などの業務部門において、業務系アプリケーションを利用するPC端末のパフォーマンスが低下

社外での生産性を高める端末環境の整備と、端末の持ち出しにおけるセキュリティの強化

ビジネス環境の変化に柔軟に対応するためのワークスタイル変革、機動力の向上

VMware Horizonを活用したVDIにより、端末のパフォーマンスが向上し、生産・物流業務がスピード化

VDIによって端末の管理作業が不要となり、担当者は本来業務への専念が可能に

iPad導入とVDIでモビリティが向上し、営業担当の顧客対応や提案レベルが向上

AirWatchによるタブレット端末やアプリケーションの安全な管理で、顧客からの信頼を獲得

VMware HorizonとAirWatchにより、社内外を問わず、安全かつ快適に業務ができるモバイル環境を構築。高い機動力を備えたワークスタイル変革を実現

図：アーレスティが推進するAirWatchを活用したワークスタイル変革

「社外に持ち出したモバイルデバイスとアプリケーションのセキュリティレベルを高めることを重視してモバイルマネジメントソリューションを検討した中で、デバイス、アプリケーション、メールのすべてを包括的に管理できる製品はAirWatch 以外にありませんでした」

株式会社アーレスティ ITシステム部 部長 高橋 新一 氏

株式会社アーレスティ

課題 成果

物理PCの端末トラブル対応やメンテナンス、セットアップの作業工数が、従来と比較して約1/5に削減

工数削減で生まれた時間で、IT部門のスタッフがICT設備の利用向上将来の拡張に向けた計画策定など企画立案型の業務に専念

時間や場所に制約されることなく、いつでも3次元CADソフトウェアなど利用した学修が可能

物理PCの1台ごとのセットアップやOSアップデート、システム復元などに、多大な時間と手間が発生

3次元CADや統計解析などのソフトウェアは高性能PCが設置された実習室のみで、かつ決められた時間内での利用に限定されていた

学校法人鶴学園 広島工業大学 様

全学生4,519人が、いつでも、どこでも利用できるVDIを導入

3次元CADソフトウェアも利用可能で、学修効果が大きく向上

図：「仮想デスクトップ教育基盤システム」の概要

「これまで個別の物理PCに対して行っていた トラブル対応やメンテナンス、セットアップなどの作業工数は、VDIの導入によって1/5に削減されました。そして、3次元CADソフトウェアの環境を、学生たちが時間や場所の制約を受けることなく自由に使えるようになったことで、学修効果を飛躍的に高めています」

情報化推進室 室長

伊藤 敦 氏

課題 成果

ストレージ仮想化テクノロジーを活用し、VDI導入コストを抑制

VDI基盤のもと、秘匿性の高い情報をサーバ側で一元管理した厳重な統制を実現

端末のゼロクライアント化により、いつでも、どこでも情報入力や参照が可能

秘匿性の高い患者情報がローカルPCで個別管理されておりセキュリティリスクを懸念

PCの設置場所が限られており、情報入力や参照のたびに現場を離れればならずロスが発生

増大するPCのトラブルやメンテナンス対応で運用管理担当者の負荷が増大

特定医療法人 万成病院

VMware Virtual SANでストレージを仮想化し、低コストでVDI導入

業務生産性の向上で、臨床にかける時間を増やして医療サービスを充実

「院内の医療従事者430名が使用するPC端末をすべて仮想デスクトップに移行し、VDIの基盤では、VMware Virtual SANによるストレージ仮想化を採用し、VDI導入のコストを抑制しました。医師・看護師のリアルタイムな情報共有が実現され、それにより効率化された時間を、臨床へより多く割当が可能になり、医療の質の向上に貢献しています」

情報システム課 主任 上級医療情報技師 河田 智之 氏

図：万成病院のシステム構成イメージ

モバイルデバイスは？

Enterprise Mobility Management(EMM)

MDM

MAM

MCM

包括的なモビリティーソリューション： AirWatch

アプリ ブラウザ コンテンツ Email

デバイス 管理

(MDM)

ワークスペース 管理

デバイス管理とWorkspace管理

MDM デバイスを管理

コンテナ化 Workspace の管理

ハイブリッド

例: BYOD

例: 企業所有

デバイス管理で、アプリ管理に 加え、カメラの使用拒否など デバイスの細部まで管理が可能

Workspace管理で、個人用アプリと業務用アプリを分離して管理

世界で 14,000 社以上の顧客の実績

25

Retail & CPG Transportation

Restaurants & Hospitality

Energy

FSI & Insurance

Healthcare Pharma & Medical Devices

Education

【国内事例】 銀行、証券業、流通業、中央官庁、テレビ局、学校、人材派遣会社、イベント運営会社、ゲーム開発会社など各業界でご採用いただいております。

No 顧客 ライセンスバンドル 提供形態 台数

1 流通 Green 専用クラウド 30,000

2 金融 Blue 専用クラウド 20,000

3 金融 Green 共用クラウド 740

4 金融 Green 共用クラウド 240

5 金融 Green 共有クラウド 200

6 建築 Green 共用クラウド 215

7 放送 Blue 共用クラウド 500

8 製造 Green 共用クラウド 5,000

9 製造 Blue 専用クラウド 800

10 人材 Green 共用クラウド 2,000

仮想化技術を活用したマイナンバー・インターネット端末対策

VDIでできる新たなPCの形

データに見る現在のセキュリティ事情 日本のセキュリティ投資の現状と踏み台サーバーの推移

出典: 株式会社MM総研 日米企業の情報セキュリティ投資動向 ―セキュリティ対策で後れをとる日本企業― http://www.m2ri.jp/newsreleases/main.php?id=010120131226500 出展 : トレンドマイクロ社 ｢国内標的型サイバー攻撃分析レポート 2015年版」

http://www.trendmicro.co.jp/jp/about-us/press-releases/articles/20150409062703.html

米国に比べ 高度セキュリティ対策への 投資が少ない傾向

2013年と2014年では 日本へのアプローチが一変

日米製品別セキュリティ投資費用比較 年次別踏み台サーバーの設置場所推移

情報系PCにおけるインターネット接続の必要性と 情報漏洩に関連する4つのセキュリティ的特徴

マルウェア感染による情報漏洩 脆弱性による情報漏洩

ブラウザソフトウェア (例: IE/Firefox/Chrome等)

メールクライアント (例: Outlook等) 情報系PC

ファイルサーバー

情報 収集

メール 受信

メール 送信

データ 保存

データ 取得

情報 送信

メールにて外部とのやりとりを行うため インターネットへの接続が必須

ゼロデイ攻撃のため、標的型攻撃によるマルウェア対策として ウィルス対策ソフトウェアでは完全に防ぐことができない

マルウェア感染後に、PC間の通信により、被害が拡大する 管理者権限を持つPCから、重要な機密データが盗難されてしまう

2

3

4

脆弱性を突いたWEBサイト経由の 情報漏洩タイプも増加しつつある 例：Flash Playerの脆弱性

1

インターネット

マルウェアの侵入から情報漏洩までの流れとその特徴

インターネット

障害福祉課 経理課 母子課 ファイルサーバ

機密

攻撃者

アクセス 権限者

メールによる侵入

通常ファイルサーバーの 機密データへのアクセスは権限によって制御

権限保持者まで感染が拡大

1

2 3

メールという必須利用ツール経由のため

使用不可という選択肢が取れない

ウィルス対策ソフトウェアでも検知できない ゼロデイ攻撃型で非常に巧妙

情報漏洩されたことすら気づけない

マルウェアに対する情報漏洩リスクの最小化 物理PCでのセキュリティ保護の限界

物理ファイアウォールによる

境界型セキュリティの限界

セキュリティゾーン セキュリティゾーン セキュリティゾーン

感染拡大リスクの増大化 ゾーン内での拡散防止は実質不可能

PC同士の通信は制御不能 ほぼ不要にも関わらず、通信できてしまう

マルウェアに対する情報漏洩リスクの最小化 仮想デスクトップ+ネットワーク仮想化による「マイクロセグメンテーション」

ブロックログによるマルウェア検知

仮想マシン単位のセキュリティ セキュリティゾーンの最小化

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

セキュリティ ゾーン

必要最低限の通信のみ許可 そもそもデスクトップ間通信はほとんど不要

マルウェア感染前提の拡散防止および検知対策が可能

VMware NSXによる 分散ファイアウォール

分散ファイアウォールのトラフィックブロックログの 傾向から見る不正アクセスの検知

7時 8時 9時 10時 11時 12時 13時 14時 15時 16時 17時 18時 19時 20時 21時 22時

100

トラフィックブロック数

ウィルス対策ソフトウェアが検知できないゼロデイアタックに対して ブロック数の傾向により、感染の可能性を考える

そもそも発生するはずのない PC間通信が発生していることから

感染拡大の傾向を検知

OSイメージの強制配布

マルウェアに対する情報漏洩リスクの最小化 仮想デスクトップのメリット

ログオフ時に 毎回リフレッシュ

マルウェアが機会を狙って 拡散していくことを防止

マルウェア感染発覚時に 初期対応として全台リフレッシュ

VDI全体の一斉初期化

マルウェアの長期滞在の防止 マルウェア発覚初動対策としての初期化 OSパッチやウィルス定義ファイルの最新性

セキュリティレベルのズレを狙ったリスクの最小化

NSXによるネットワーク仮想化とは？

• オーバーレイ実装（Hardware非依存型)

– エッジ側でインテリジェントな機能を実装し、トンネリングすることで 物理ネットワークから分離

– ネットワークサービス全てをソフトウェアで実行し、集中制御

vS

wit

ch

論理ネットワーク

Load Balancer

Firewall

NW コントローラ

既存のスイッチ

トンネリング

vS

wit

ch

任意のアプリケーション

仮想ネットワーク

VMware NSX ネットワーク仮想化プラットフォーム

Logical Switch

任意の物理ネットワーク

任意のクラウドマネジメントプラットフォーム

Logical Firewall

Logical Load Balancer

Logical Router

Logical VPN

任意のハイパーバイザ

Logical Switch Layer3の物理ネットワークを越えて構成できるLayer2ネットワーク

Logical Router 論理ネットワークの中でルーティングを完結させる高効率な分散ルーティング

Logical Firewall シンプルなダイナミックポリシー＆ カーネルに組み込まれた高性能分散ファイアウォール

Logical Load Balancer アプリケーションレベルのロードバランシングとSSL Termination

Logical VPN 豊富なサイト間、オンプレ～DC間VPN IPSec VPN / L2VPN / SSL VPN

NSX API 様々なCMPと連携可能な RESTful API

Partner Eco System ユーザーの選択肢を更に広げるパートナー連携

VMware NSXの提供機能

36

VMware NSX のお客様事例と実績

NSX のお客様

550 社以上

（四半期ごとに 25 ～ 50 の増加）

100 社以上

NSX に 100 万ドル以上投資した企業

50 社以上

本番環境での展開

国内の実績（Serviceprovider/Telecom）

http://www.iij.ad.jp/GIO/bp/dp_ns016.html

デザインテンプレートに採用

インターネットイニシアティブ様

http://www.ntt.com/release/monthNEWS/detail/20130627_2.html

NTTコミュニケーションズ様

SDNによるクラウドマイグレーションサービスで採用

国内でも既に商用サービスで採用・利用されています。

業務用とインターネット参照用ブラウザ分離をクラウドで実現

多くの公共機関ではインターネットアクセス用のブラウザを別で用意しセキュリティを強化されておりますが、その仕組みをクラウドを利用して構築することができます。

画面転送

インターネット

Horizon Air (*)

メリット

• 初期費用の削減（余計なHWを持たずに済む） • 必要に応じてすぐにスケール可能。初期のサイジングで失敗し

ても柔軟な対応が可能 • VPN/ FW はクラウドサービスに含まれているので、新規購入

の必要ない。 • vCloud Airの持つセキュリティレベルを教授 • 海外のデータセンターなども併用することが可能

• Web 脅威対策の１つとして、インターネットアクセスに対して、デスクトップ上のブラウザを利用せず、外部のセキュアな環境でのブラウザを活用するニーズが高まっている

• オンプレミスでの構築も可能だが、HW環境の準備や運用など管理負荷が高いことが課題である

背景・課題

ローカルブラウザでは外部アクセスできない VPN / 専用

線

VMware Cloud Service

Horizon Air

Horizon Air を活用したインターネット接続端末仮想化

vCloud Air サーバールーム

庁内

庁内

既存物理端末

Internet

RDSH 1000 デスクトップ

Active Directory

2 3 1

1.デスクトップ作成 2.ユーザ割り当て 3.ユーザログイン

個別 デスクトップ

アプリケーション メニュー

共有 デスクトップ

・標的型攻撃からのリスクを最小化し個人情報保護を実現 ・契約、外注者への 一時払い出し

どこでも

IPVPN

ウイルス対策ソフト管理サー

バー Active Directory

・インタ-ネット ・Office.

VDI 課題 ・庁内からセキュアにSCLへアクセスする方法（双方向のファイル交換） ・ファイルアクセスのログを取る方法（誰がいつファイルをUp.DLしたか） ・セルフサービスで個人コンテンツをブラウザアクセス

インターネットアクセス不可

インターネットアクセスOK

iFilter等のフィルタリングは？踏み台サーバーへの通信を検知・フィルタﾘﾝｸﾞ

SCL Remote file

storage

誰が、どのファイルを、いつ、操作したか

・WindowsであればADで監査ログを有効 ・LogiNsight（Agent入れて)

他社、ログストレージ

LANスコープCAT

・ファイルサーバーで暗号化する

デバイス、アプリ、OSの管理

簡単過ぎるの仮想デスクトップサービス

お客様から提供・管理

VMwareが提供管理 ハードウェア サポート

ファシリティ

ソフトウェア

初期費用なし

難しい設計なし

運用は仮想デスクトップのみ

VMwareのフォーカスエリア

Software-Defined Data Center

ハイブリッド クラウド

End User Computing

モバイル クラウド時代における お客様の成功のため

“Software-Defined Enterprise”の実現を支援

コンピューティング

物理環境 ハードウェア

ポリシー ベースの管理および自動化

クラウドの自動化 クラウドの運用 クラウド ビジネス

Software-Defined Data Center

プライベート クラウド

パブリック クラウド

ハイブリッド クラウド

VMware および vCloud Data Center

パートナー

仮想インフラ抽象化とプール化

コンピューティング の抽象化 =

サーバ仮想化

ネットワーク

ネットワーク の抽象化 =

仮想ネットワーク

ストレージ

ストレージの抽象化 = Software-

Defined Storage

アプリケーション

エンド ユーザ コンピューティング

デスクトップ モバイル

仮想ワークスペース

最新型 SaaS 従来型

Software-Defined Enterprise