米ヴイエムウェアは2017年8月28日(米国時間)、仮想化環境やクラウドで稼働するアプリ向けの新セキュリティ対策「VMware AppDefense」の提供を開始した。従来のセキュリティ対策のモデルを転換。「攻撃者の不正操作を見張るのではなく、アプリが“本来の稼働状態(Intended State)”にあるかどうかを監視することで、対策の効率化を図った」(VMware セキュリティ製品担当シニア バイスプレジデントのトム・コーン氏)。

 
不正操作ではなく、アプリが“本来の稼働状態”にあるかどうかを監視する
[画像のクリックで拡大表示]

 AppDefenseは、アプリの本来の稼働状態を把握(CAPTURE)した上で、監視(DETECT)を実行。CAPTUREで把握した状況と、実際の稼働状況に乖離(かいり)が発生した場合、アラートを出したり攻撃をブロックしたりといった対策を自動で行う(RESPOND)。「セキュリティ対策を後付けするのではなく、セキュリティインフラとしてあらかじめ組み込んでおくのが大切だ」(トム・コーン氏)。

 CAPTUREでは、VMware ESXiの管理ツール「VMware vCenter」から仮想マシンの情報を収集。どういったアプリが稼働しているかなどは、「Chef」や「Puppet」といったプロビジョニングツールから集める。「Maven」などのビルド管理ツールからも情報を得た上で、本来の稼働状態を「Manifesto」として定義する。

 DETECTでは、Manifestoとズレが無いかどうかという観点で、アプリの稼働状況を監視。問題があれば、あらかじめ決めておいた対策を自動実行する。対策としては、アラートを発するほか、ネットワーク仮想化ソフト「VMware NSX」に設定変更を指示するようなことも可能だ。

アラートを発したり、攻撃をブロックしたりする
[画像のクリックで拡大表示]

 AppDefenseは、様々なセキュリティ関連ツールの連携、活用により、CAPTUREからRESPONDに至るプロセスの精度を高める。アンチウイルスソフト「Carbon Black」や、米IBMのセキュリティ分析プラットフォーム「QRadar」などが連携対象だ。

 AppDefenseは、VMware vSphere 6.5を利用する米国の顧客向けに提供を開始。希望小売価格は、1CPU/1年間のサブスクリプションで500米ドルからである。