VMware NSX Portal | マルウェア感染時の対応自動化のポイント

マルウェア感染時の最初のアクションは、ネットワークケーブルを抜くこと！？

外部攻撃による顧客情報の窃取は年間100万件を超えると言われています（出典：トレンドマイクロ 2014年）。情報漏洩事件が起きると、その対応に多大な費用と工数がかかることから、今やセキュリティの対策は企業の存続に関わる重要事項として取り扱われています。

それにもかかわらず、多くのセキュリティ対策マニュアルには、自身のパソコンがウイルスに感染したと疑われる場合の最初のアクションは、ネットワークケーブルを抜く、もしくはワイヤレススイッチをオフにする・・・と規定されています。ネットワークを遮断すれば、ウイルスの拡散や、自身のパソコンから情報が漏洩する事態を防ぐことができる、ということですが、その方法で本当によいのでしょうか。

その理由として、マルウェアは通常のウイルスとは違い、感染したことに気づかないケースがほとんどです。またマルウェア感染は数ヶ月、場合によっては年単位で社内ネットワークに潜んでいるケースもあります。マルウェアに感染したことに気が付づかないまま運用を続ければ、情報が漏洩する可能性は飛躍的に高まります。しかもマルウェアは被害企業の93％が外部の指摘で攻撃にはじめて気が付くという調査結果(トレンドマイクロ 2015年)があるように、侵入を検知して自動的に対応するか、拡散を防止する仕組みが必要になります。

しかもこれは物理デスクトップだけでなく仮想デスクトップにおいても同様です。仮想デスクトップの場合、手元にある機器は画面を転送しているだけなので、マルウェアに感染したマシン本体はサーバの中にあります。つまり、ユーザ端末のケーブルを抜いても、感染拡大や情報漏洩を食い止めることができません。マルウェアの拡散を防止するためには、仮想デスクトップのネットワーク設定を変更する必要もあります。

VMware NSXで内部ネットワークのマルウェア拡散を防止。

マルウェアは一旦侵入されると、その内部で拡散活動を行います。従来では、端末間での行き来が自由に行われるために、不正プログラムの拡散を許し、被害拡大へと繋がっておりました。

VMware NSXなら、他社のセキュリティ対策製品と連携することで、マルウェアを自動的に隔離して拡散を防止することが可能です。

VMware NSXでは、セキュリティゾーンを最小単位（VM（仮想マシン）単位）にまで落とし込み、最適なセキュリティを提供する「マイクロセグメンテーション」により拡散を防ぎます。また、万一侵入されたとしても不正プログラムや不正な振る舞いを検知し、対象の仮想マシンをセキュリティグループから隔離が、セキュリティソリューションの「トレンドマイクロ Deep Security」と連携させることで、マルウェアを自動的に隔離して拡散を防止することが可能になります。

人の“気付き”に頼った対策ではなくソフトウェアが瞬時に対応しますので、情報漏洩が発生するリスクを減らすことができます。

セキュリティフローの自動化。効率的にセキュリティ環境を維持。

また、VMware NSXとトレンドマイクロ Deep Securityの連携ソリューションでは、マルウェアの発見から隔離、駆除、復旧のプロセスを自動化することで、効率的にセキュリティ環境を維持することができます。

NSXとDeep Securityが連携したネットワーク環境にマルウェアが侵入した場合、まず、マルウェアを検知したDeep Securityが、感染したマシンにタグを付けます。タグを付けられたマシンは、事前にNSXで定義されたポリシーに従い、自動的にネットワークから隔離されます。外部通信が遮断された状態で、Deep Securityはウイルスの検疫を実施します。そして、NSX側ではマルウェア駆除後に、本来のネットワークポリシーを適用し、業務が再開できる状態に復旧します。

これらの対応は、人力ではとても時間がかかり、システム管理者にとっても、マルウェアに感染したマシンの利用者にとっても大きな負担となります。しかしNSXならマルウェアの検出から、隔離、駆除、復旧までを人の手を介することなく、とても短い時間で行うことできるのです。

このように、VMware NSXは他社製品と連携し、セキュリティを高めると同時に、マルウェア感染後の対応を自動化することで、少人数でも効率的なセキュリティ環境を維持することが可能です。

（くわしくは「マルウェアの内部拡散を防げ！」をご覧ください。）