ホーム > PC-Webzineアーカイブ > デジタルワークプレイスに対するVMwareとシスコのアプローチ

デジタルワークプレイスに対するVMwareとシスコのアプローチ

デジタルワークプレイスに対するVMwareとシスコのアプローチ

2020年05月13日更新

デジタルワーク体験を向上させる

テレワーク環境におけるデバイスやOSの管理、クラウドサービスや社内ネットワークへのアクセス管理などをどうするか。その包括的な答えとしてVMwareは「VMware Workspace ONE」を提供している。

デバイスとID&アクセス管理をまとめて

「在宅勤務や働き方改革を実現するために、モバイルデバイスやクラウドサービスの利用が拡大しています。システム面で考慮すべきなのは、いかにセキュアにそして管理者に負荷をかけずにそれらを管理できる環境を構築できるかです」(ヴイエムウェア マーケティング本部 チーフストラテジスト プロダクト&ソリューション - EUC/IoT 本田 豊氏)

 モバイルデバイスの管理という側面ではMDMなどがあるが、在宅勤務やモバイルワークなどの社外での仕事環境の管理としてはMDMだけでは不十分だ。利用するアプリケーションやデータに安全にアクセスできる体制もまた、デジタル上の仕事環境(VMwareはデジタルワークスペースと呼んでいる)を構築する上で必須の要素となる。VMwareは、これらの環境を統合的に実現するプラットフォームとして「VMware Workspace ONE」を提供している。例えば、以下のような管理が可能だ。

―統合エンドポイント管理
モバイルデバイスやデスクトップPCなど、さまざまなデバイスを単一のコンソールでリアルタイムに管理できる。管理コストの削減やセキュリティの強化が実現。iOS、Android、Windows 10、macOS、Chrome OSなどに対応。

―ID&アクセス管理
デバイスを問わず、単一のアプリケーションカタログからシングルサインオン(SSO)でさまざまなアプリケーションにアクセスできる。従業員の生産性や満足度の向上に寄与する。

―データ収集&分析
デジタルワークスペース全体のデータを集約して関連付けを行い、インサイトの収集、分析、自動化を推進。ユーザーの使用環境の向上、セキュリティの強化、ITコストの削減が可能に。

ワークスペース全体の可視化を実現

 Workspace ONEを導入すれば、デバイスの管理においては、初期導入から構成までを社内ネットワークに接続することなくインターネット経由でセキュアに実現できるようになる。OSのアップデートやパッチなども、クラウド経由で状況を可視化して必要に応じて適用させられる。

 ID&アクセス管理では、シングルサインオンによるセキュリティと利便性の強化に加えて、デバイスの状態やネットワークの場所によってアクセスの仕方を変えさせるような機能も利用可能だ。「自宅以外の場所で作業をする場合、ノートアプリへのアクセスはシングルサインオンで、Office 365へのアクセスは二要素認証を利用させるというような、場所とアプリやデータの重要度に応じたアクセス管理を実現します。また、デバイスやユーザーのふるまいを常時スコアリングし、異常を検知した場合にアクセスを遮断するような仕組みも実装しています。エンドポイントの状態把握には、VMwareが買収したEDRベンダーのCarbon Blackの技術などが貢献しています」(本田氏)

 Workspace ONEの核としてデジタルワークスペース全体の可視化を実現するのが、「Workspace ONE Intelligence」だ。デバイスやアプリケーション、IDの状況や脆弱性情報などのデータを集約して分析し、ダッシュボードで一元的に把握可能にしたり、さまざまな対応の自動化を実現したりできる。VMwareでは、以下のようなメリットがあると解説している。

・統合化されたインサイト
デジタルワークスペース全体を可視化することで環境全体でデータに基づく意思決定が可能。

・アプリケーションの分析
組織全体でアプリケーションの開発と展開を最適化することで、迅速な問題の解決、エスカレーションの削減、ユーザーの利用環境の向上を実現。

・強力なオートメーション
プロセスの自動化により環境全体に対してゼロトラストセキュリティの適用を実現、コンプライアンス要件への対応や従業員の生産性を向上させられる。

「Workspace ONE Intelligenceは、2年程前に加わった機能で、従来のAirWatchと比較して、可視化できるポイントが約10倍になりました。ワークフローの自動化も可能です。例えば、WannaCryのようなランサムウェアが出現した際に、デバイスのパッチ適用の有無の可視化や、パッチ適用の自動化などを実現します。ServiceNowやSlackと連携させて、アラートからチケットの発行までを自動化させたりもできます」(本田氏)

仮想デスクトップとの組み合わせも

 VMwareは、VDIソリューションとして「VMware Horizon」を提供しているが、Workspace ONEの上位エディションでは、オンプレ向けの「Horizon 7」やDaaSの「Horizon Cloud Service」の利用も可能だ。これによって、VDIで利用するデバイスの管理なども一元的に行えるようになる。「在宅勤務や働き方改革を実現させるためにVDIの導入を検討されるお客さまが、モバイルの管理を一緒に実現させるためにVMware HorizonとWorkspace ONEを組み合わせて採用されるケースも多いです」(本田氏)

 また、「VMware Horizon Cloud Service on Microsoft Azure」のように、Microsoft Azure上にWindowsの仮想デスクトップやアプリケーションを展開しつつ、Workspace ONEとの連携でシングルサインオンや二要素認証を可能にしたりもできる。「VMware Horizon Cloud Service on Microsoft Azureでは、Windows Virtual Desktop(WVD)もサポートしています。WVD単体よりもよりきめ細やかな管理を求めるユーザーに対して、訴求力があるサービスです」(本田氏)

 このように、VMwareが提供するWorkspace ONEは、デバイスやアプリケーションの管理・運用体制や認証・アクセス管理を強化できるソリューションだ。「テレワークなどで利用するデバイスからWindows 10などのOSの管理、さらにアプリケーション、そして全体の可視化までを、Workspace ONEの導入で実現させていただきたいですね」(本田氏)

ゼロトラストセキュリティの視点から

デジタルワークプレイスの実現のためには、ゼロトラストという視点からセキュリティを考える必要もある。シスコシステムズは三つの側面でゼロトラストを確立させるソリューションを提供する。

ボーダーレスネットワーク

 職場環境をデジタルに移行させるデジタルワークプレイスでは、さまざまな場所からさまざまなデバイスでクラウドサービスや社内ネットワークにアクセスすることになる。このような状況では、従来型のセキュリティの考え方が通用しなくなる。ネットワークの側面からセキュリティについての知見を蓄えてきたシスコシステムズ セキュリティ事業 シニアマネージャの西 豪宏氏は次のように指摘する。

「これまでは、デバイスからのアクセス先が社内ネットワークでほぼ統一されていました。しかし、現在はさまざまなユーザーがモバイルデバイスを利用してインターネット経由で多様なクラウドサービスにアクセスしています。メールやファイル共有型のサービスやビデオ会議サービスなどに、VPN接続なしで直接アクセスするような状況になっているのですね」

 同社 セキュリティ事業 アーキテクト/エバンジェリストの木村 滋氏が続ける。「働き方改革や今夏に予定されていたオリンピックを考慮したテレワーク対応などが進む中、大規模な感染症の拡大で、そのテレワーク対応が3月から急ピッチで進められています。ただし、在宅勤務用のPCだけの用意では、セキュリティ環境はもちろん脆弱です。IDやパスワードが盗まれてしまうリスクも高まるでしょう。テレワーク環境に即したセキュリティ体制の構築も同時に求められているのです」

 こうした中で新しいセキュリティの考え方として注目されているのが「ゼロトラスト」だ。社内と社外を区分する従来までの境界型のセキュリティから、社内と社外を分けずにあらゆるものを信頼しないという立場からシステムを構成するアプローチとなる。「ゼロトラストという言葉は新しいですが、20年前からテレワークを推進してきた当社では、同様の考え方として“ボーダーレスネットワーク”という言葉とともにセキュリティを考えてきました。ゼロトラストは、アクセスの付与の仕方を再考するアプローチであり非常に有効ですが、それだけでは万全ではありません。デバイスにおける脅威対策であったり従来までの境界防御型のセキュリティも組み合わせて取り組むべきでしょう」(西氏)

シスコのゼロトラスト
 こうした中でシスコシステムズは、「ワークフォース」「ワークロード」「ワークプレイス」の三つの側面から、それぞれに適したセキュリティ対策の提案で、ユーザーのゼロトラストセキュリティの確立をサポートしている。「これら三つは、各企業に存在するであろう論理ドメインですね」(木村氏)

ワークフォース
ユーザーとデバイスのアクセスの側面から、ユーザーのアイデンティティの確認やデバイスの可視性の取得、アプリケーションなどへのアクセスコントロールを行う。

ワークロード
データセンター上などでどのようなアプリケーションが実行されていて、どんな脆弱性があるのかを可視化。アプリケーションのマイクロセグメンテーションやポリシー違反時のシャットダウン、アラートの通知などを実現する継続的なモニタリングやレスポンス環境も要求される。それらをソリューションで実現する。

ワークプレイス
オフィスネットワークへのセキュアなアクセスを実現するための施策。ゼロトラストの視点でネットワーク上のユーザーやデバイス、アプリなどを検出して分類したり、ユーザーやデバイスコンテキストに基づく正しいレベルのネットワークアクセス付与などを実現。マルウェアなどに感染したエンドポイントの検知と封じ込め、ネットワークへのアクセス制限なども可能にする。

「シスコシステムズは、これらのセキュリティソリューションを包括的に提供できるのが強みです。もちろん、それぞれの段階的な導入も支援可能です」と西氏は説明する。

 実際、シスコシステムズは、ワークフォースには「Cisco Duo セキュリティ」、ワークロードには「Cisco Tetration」、ワークプレイスには「Cisco SD-Access」というソリューションを用意している。Cisco Duo セキュリティは、多要素認証を実現するソリューションであり、Cisco Tetrationは、ワークロードの自動可視化やゼロトラストのホワイトポリシーの適用などを実現する。そして、Cisco SD-Accessは、Cisco ISEやCisco DNA Centerなどと連携して、正しいユーザーやデバイスからのアクセスかどうかを常にモニタリングし、必要に応じてアクセス制御を行えるようにする。

提案しやすいDUO

 シスコシステムズは、ワークフォース、ワークロード、ワークプレイスの三つの視点から必要なソリューションを提案しているが、最初に手掛けるべきはどれなのか。「ゼロトラストの観点では、まずはアイデンティティによるポリシー制御を行うべきでしょう。それには正しいユーザーとデバイスからのアクセスを実現するCisco Duo セキュリティが適しています」(木村氏)

 Cisco Duo セキュリティは使用するデバイスにアプリケーションをインストールするだけで利用できる手軽さが魅力だ。それによって、多要素認証によるユーザーの信頼性の確立、使用するデバイスの健全性の可視化、アクセスポリシーの適用、さらに、他のアプリケーションへのシングルサインオンまで実現する。「Cisco Duo セキュリティの利用によって、社外でもVPNを使わずに社内と同様の安全なアクセス環境を構築できます。Azure ADなど他の認証ソリューションとも組み合わせて利用できる柔軟性も備えているのが特長です」(西氏)

 Cisco Duo セキュリティは3月にリリースしたばかりだが、提供を待っていたユーザーも多く、トライアルの数も拡大している。「既存の認証システムを使いながら、さらに多要素認証を組み合わせられる手軽さや分かりやすさがあり、提案しやすいソリューションになっています。ゼロトラストを実現し、安全なテレワーク環境を構築するための一歩として多くのお客さまに利用していただきたいですね」と西氏と木村氏は声をそろえる。

キーワードから記事を探す