東京エレクトロンデバイス(TED)は2017年6月29日、仮想化技術を用いたクラウド環境をサイバー攻撃などから守って安全に運用するためのセキュリティーソフト「APEIRO」を発表、同日販売を開始した。開発会社は、米シールドエックス・ネットワークス(ShieldX Networks)。

APEIROの構成要素。主として、クラウド環境の管理サーバーと連携する管理コンソール機能と、セグメント間のアクセスを監視して制御するゲートウエイ機能で構成する
APEIROの構成要素。主として、クラウド環境の管理サーバーと連携する管理コンソール機能と、セグメント間のアクセスを監視して制御するゲートウエイ機能で構成する
(出所:東京エレクトロンデバイス)
[画像のクリックで拡大表示]

 個々の仮想サーバーが所属するネットワークセグメントを用途ごとに細かく分割する「マイクロセグメンテーション」の考え方を採用したセキュリティーソフトである。クラウド運用ソフトと連携してVLANセグメントを分割する機能や、セグメント間の通信をファイアウォールで監視して制御する機能を提供する。

 製品の構成要素は大きく四つある。(1)「管理コンソール」、(2)セグメント間の通信を仲介するゲートウエイ「Segment Interface」、(3)ゲートウエイの背後で動作し、アプリケーションを認識しつつ通信が安全かどうかを判断する「Deep Packet Inspection」、(4)ゲートウエイの背後で動作し、米FireEyeのマルウエア検出製品と連携してマルウエアを検出する「Malware」──である。いずれも仮想サーバーとしてクラウド環境の上で動作する。

 対象とするクラウド環境は、VMware vSphere、OpenStack、AWS(アマゾンウェブサービス)、Azureの四つである。VMware vSphere環境での動作を例に挙げると、管理コンソールがVMware vCenterと連携し、vSwitchを使って複数のVLANを作成する。さらに、ファイアウォール機能を提供する仮想サーバー群を配備する。VLANセグメント間の通信は、vSwitchにつながったゲートウエイのSegment Interfaceを介して行われる。

 使い方は簡単だという。設定は3ステップで終了する。対象とするクラウド環境を選び、リソースプールを定義し、セグメントのグループ化やポリシーの割り当てを行う。ファイアウォール機能を提供する仮想サーバー群は拡張性を確保しており、必要な機能ごとにサーバー台数を増減できるようにしている。

 セグメント間のアクセス制御ルールは、IPアドレスやポート番号だけでなく、アプリケーション名を指定できる。通信の中身まで判別し、これをアクセス制御に利用できる。さらに、あらかじめ設定したアクセス制御ルールだけでなく、感染したマルウエアによる不正な通信などを検知したことをトリガーに、自動で通信を遮断する運用もできる。

アプリケーションを識別した上でのルールベースのアクセス制御機能、マルウエアを検出する機能、感染したマルウエアによる不正な通信を検知する機能、などを提供する
アプリケーションを識別した上でのルールベースのアクセス制御機能、マルウエアを検出する機能、感染したマルウエアによる不正な通信を検知する機能、などを提供する
(出所:東京エレクトロンデバイス)
[画像のクリックで拡大表示]

 ライセンスは、帯域性能ベースのライセンスと、使った分だけ課金する従量制のライセンスの2種類がある。価格はオープン。帯域性能ベースの参考価格は最小構成となる帯域10Gビット/秒で1000万円程度から。販売目標は今後5年間で5億円程度。2017年内で3社から4社の試験導入につなげたいとしている。