[IT Leaders Tech Strategy LIVE 2022年以降の「デジタルワークプレイス」その必要条件]

利便性と安全性を両立するテレワーク時代のセキュリティ対策

2022年1月19日(水)

働き方が多様化する中、自宅やオフィスなど、あらゆる場所で業務を遂行できる環境が求められるようになった。ただし、セキュリティや使い勝手などの面で課題も少なくない。ヴイエムウェアのマーケティング本部でチーフストラテジストを務める本田豊氏は2021年12月1日にオンラインで開催された「2022年以降の『デジタルワークプレイス』その必要条件」(主催:インプレス IT Leaders)のセッションで、課題の打開に向けた同社のアプローチを説明した。

テレワーク普及で持ち上がった課題を3つに集約

 企業のオフィス環境は、新型コロナウイルス感染症(COVID-19)の蔓延をきっかけに、大きく変貌を遂げつつある。コロナ禍以前は、オフィス内での業務が主流だったが、緊急事態宣言の発令などによりテレワークを取り入れる企業が一気に増加したのは周知の通りだ。

 コロナ禍以前はネットワークの内と外には明確な境界線があり、境界線の出入り口にファイアウォールやIDS(Intrusion Detection System=侵入検知システム)、IPS(Intrusion Prevention System=不正侵入防止システム)といった境界型のネットワークセキュリティ機器を設置するのがセキュリティの在り方だった。その基本的な考え方にも見直しが求められている。

ヴイエムウェア マーケティング本部チーフストラテジストの本田豊氏

 ヴイエムウェア マーケティング本部チーフストラテジストの本田豊氏はその変化について「数年前から始まっていました」と指摘。その要因は、クラウドコンピューティングの普及だ。パブリッククラウドを使うことでワークロードの一部が境界線の外に出るようになった。さらにSaaSの利用が進むことで、アプリケーションやデータも境界線の外に移動。加えて、今般のコロナ禍によってテレワークが広がりユーザーまでもが境界線の外に出ることなったのは記憶に新しい。こうしてネットワークの明確な境界線が消滅し、業務環境は分散化されるようになった(図1)。

図1:企業の業務環境は分散化している(出典:ヴイエムウェア)
拡大画像表示

 分散化するとネットワークやシステムの環境は複雑化する。このことがさまざまな課題を生じさせている。本田氏はこれらの課題を「従業員体験」「セキュリティ」「運用・管理」という3つのカテゴリに集約、今回のセッションでは主に従業員体験とセキュリティについて説明した。

3つのプラットフォームでIT、ネットワーク、セキュリティを網羅

 本田氏は、ヴイエムウェアの提供するソリューションが各カテゴリの課題を解決するという。そのソリューションというのが、同社が2021年4月に発表したVMware Anywhere Workspace。デジタルワークスペースを実現する「VMware Workspace ONE」、クラウドネイティブのエンドポイント保護基盤「VMware Carbon Black」、ゼロトラストセキュリティとネットワークパフォーマンスの管理を司る「VMware SASE」という3つのプラットフォームで構成されている(図2)。「この3つのプラットフォームを連携させることでIT、ネットワーク、セキュリティを網羅する包括的なソリューションを提供します」(本田氏)と説明する。

図2:VMware Anywhere Workspaceを構成するプラットフォーム(出典:ヴイエムウェア)
拡大画像表示

 オフィスワークとテレワークが混在するハイブリッドな組織においては、管理、モニタリング、セキュリティ、コンプライアンスなどを根本から見直す必要がある。一方、社員同士が直接顔を合わせる機会が減るなか、組織と従業員の一体感の醸成や生産性向上を目的に、「従業員体験(Employee Experience)」の向上を志す企業も増えている。

 ITシステムにとっての従業員体験はユーザー体験となるが、ユーザー体験の向上とセキュリティの向上は相反するものと信じられてきた。セキュリティを強化すると、例えばデバイスのロックダウンや長いパスワードの設定が求められるようになり、ユーザー体験は低下する。多くのエージェントがデバイス上で稼働するようになるためパフォーマンスにも悪影響を及ぼすと考えられている。

 本田氏は、今回説明する製品群について「エンタープライズクラスのセキュリティとコンシューマ製品のような使い勝手の良さを両立させるものです」と強調した。それでは、ヴイエムウェアの製品群は、ユーザー体験とセキュリティを両立させつつ、テレワークの普及に伴うエンドユーザーコンピューティング(EUC)の課題をどう解決するのか。

従業員のデジタル体験を管理/向上するのに役立てる

 まずは、従業員体験。ヴイエムウェアでは、分散された業務環境のうえに成り立つハイブリッドな働き方を実践する企業を「物理的制約のない組織」と呼んでいる。「物理的制約のない組織では、従業員のデジタル体験を管理/向上するツールが必要になります」(本田氏)。そのプラットフォームがVMware Workspace ONEだ。

 Workspace ONEのコンポーネントの一つにVMware Workspace ONE Intelligent Hubというアプリケーションがある。ユーザーにとって業務に必要なすべてのリソースにアクセスする際の入り口に位置付けられているもので、アプリケーションにアクセスする際には、アプリケーションカタログからシングルサインオンと多要素認証でセキュアにアクセスできる。

 VMware Workspace ONE Intelligenceは、Workspace ONEプラットフォームが収集するさまざまなデータの集約、関連付けをしての可視化、問題への対応など各種プロセスの自動化を実現するWorkspace ONEのデータプラットフォーム(図3)。このWorkspace ONE Intelligenceをベースに開発されたのがDEEM(Digital Employee Experience Management)だ。

図3:データの取り込みから問題への対応などのプロセスを自動化するWorkspace ONE Intelligence(出典:ヴイエムウェア)
拡大画像表示

 先のIntelligent Hubがユーザー向けなのに対して、DEEMはIT管理者向けの位置付けであり、ユーザー体験の管理や向上を図るのに活用する。具体的には、ユーザーログインの失敗、ブートアップやシャットダウン時間、アプリケーションの使用状況、パフォーマンス、デバイスの健全性、デバイスのクラッシュなど重要性の高いさまざまなメトリックを取得。これらのリアルタイムのデータを利用することで、包括的なユーザー体験スコアを生成することができる。また、強固な修正機能によって、SLAの向上も可能だ。

ゼロトラストアプローチに必要なテクノロジーはすでに提供

 次にセキュリティ。社内外の境界線があやふやになった物理的制約のない組織のセキュリティ対策では、社内外すべてのアクセスを信用しない「ゼロトラスト」の考え方が求められる。「ゼロトラストソリューション」という専用の製品が存在するわけではなく、ユーザーは必要なソリューションを組み合わせて実装していく必要がある。本田氏は「Workspace ONEや、デスクトップおよびアプリケーションの仮想化製品であるVMware Horizonを導入しているユーザーは、すでにゼロトラストアプローチに必要なテクノロジーを手にしていると考えています」という。

 例えば、Workspace ONEのUEM(統合エンドポイント管理)やAccess(アクセス制御)を組み合わせることによって、いわゆるデバイスポスチャー情報などに基づいた、きめ細かく精緻なアクセス制御を具現化できる。また、エンドポイントを保護するVMware Carbon BlackやVMware Horizon、ネットワーキングサービスとセキュリティサービスを組み合わせたVMware SASE(Secure Access Service Edge)などを連携させることでエンド・ツー・エンドのゼロトラストなアプローチが可能になるという。

 ゼロトラストなアプローチを実現するにあたっては、複数チームの協力が必要になる。従来はセキュリティチームが実施するものだったが、デバイス管理という観点からは、エンドユーザーコンピューティングサービスやデバイス管理を行っているチームとの協業が必須となる。

 本田氏は、「デバイス管理、アクセス制御、問題対応の自動化機能を提供するWorkspace ONEと、ランサムウエア、マルウエア、ファイルレス攻撃からの防御を担うVMware Carbon Blackを統合させることで、セキュリティチームとエンドユーザーサービスチームの連携を実現しています」(図4)と説明した。

図4:エンドポイントの管理とセキュリティの統合(出典:ヴイエムウェア)
拡大画像表示

 クラウドベースの統合エンドポイント管理機能によって、リモートにあるデバイスのOSやアプリケーションを最新の状態に維持して感染を防止、デバイス自体のコンプライアンスも維持する。マルウエアやランサムウエアといった攻撃に対しての監視や修正などの対応はVMware Carbon Blackが担うことで、より強固なデバイスセキュリティを構築できる。

リスクをスコアリングしてアプリケーションのアクセス制御を可能に

 データやアプリケーションへのアクセス制御においても、VMware Carbon Blackからのデータを踏まえたデバイスやユーザーのリスクのスコアリングが可能になり、アプリケーションに対するアクセス制御が可能になるという。このアクセス制御というのは、テレワークなど社員がリモートからアプリケーションやデータにアクセスする際に、重要な要素となる。Workspace ONEでは、デバイスのコンプライアンス状況、認証のコンテキスト、リスクスコアリングによってアプリケーションやデータへのアクセス制御が実施できる。

 例えば、あまり機密性の高いデータを扱わないアプリケーションに対しては、Workspace ONE Intelligent Hubで一度ログインすれば、あとはシングルサインオンで各アプリケーションにアクセスできるようにする。機密性が高いデータを扱う可能性がある場合は、二要素認証を適用し、人事情報など機密性の高いアプリケーションへのアクセスについてはデバイス自体が認証を受けていなければアクセスできない、といった制御が可能となる。

 VMware Anywhere Workspaceの技術は多様で、今回のセッションではすべては説明しきれていない。しかし、本田氏が伝えようとしたのは、セキュリティを強化するからといって、ユーザー体験を引き換えにする必要はない。そのためにVMware SASEをはじめとする最新のテクノロジーがあり、それを活用するべきということだ。


●お問い合わせ先

ヴイエムウェア株式会社

https://www.vmware.com/jp/company/contact.html

EVOLVE ONLINE
https://vm-event.jp/evolve/
※一部コンテンツのご利用にはご登録(無料)が必要となります。

バックナンバー
IT Leaders Tech Strategy LIVE 2022年以降の「デジタルワークプレイス」その必要条件一覧へ
関連記事

Special

-PR-

利便性と安全性を両立するテレワーク時代のセキュリティ対策働き方が多様化する中、自宅やオフィスなど、あらゆる場所で業務を遂行できる環境が求められるようになった。ただし、セキュリティや使い勝手などの面で課題も少なくない。ヴイエムウェアのマーケティング本部でチーフストラテジストを務める本田豊氏は2021年12月1日にオンラインで開催された「2022年以降の『デジタルワークプレイス』その必要条件」(主催:インプレス IT Leaders)のセッションで、課題の打開に向けた同社のアプローチを説明した。

PAGE TOP