米ShieldX Networksの「APEIRO」は、仮想化技術を用いたクラウド環境をサイバー攻撃などから守って安全に運用するためのセキュリティソフトである。個々の仮想サーバーが所属するネットワークセグメントを用途ごとに細かく分割する“マイクロセグメンテーション”の考え方を採用。クラウド運用ソフトと連携してVLANセグメントを分割する機能や、セグメント間の通信をファイアウォールで監視して制御する機能を提供する。

APEIROの構成要素。主として、クラウド環境の管理サーバーと連携する管理コンソール機能と、セグメント間のアクセスを監視して制御するゲートウエイ機能で構成する
(出所:東京エレクトロンデバイス)
[画像のクリックで拡大表示]
アプリケーションを識別した上でのルールベースのアクセス制御機能、マルウエアを検出する機能、感染したマルウエアによる不正な通信を検知する機能、などを提供する
(出所:東京エレクトロンデバイス)
[画像のクリックで拡大表示]

 製品の構成要素は大きく4つ。(1)「管理コンソール」、(2)セグメント間の通信を仲介するゲートウエイ「Segment Interface」、(3)ゲートウエイの背後で動作し、アプリケーションを認識しつつ通信が安全かどうかを判断する「Deep Packet Inspection」、(4)ゲートウエイの背後で動作し、米FireEyeのマルウエア検出製品と連携してマルウエアを検出する「Malware」、である。いずれも、仮想サーバーとしてクラウド環境の上で動作する。

 対象とするクラウド環境は4つ。すなわち、VMware vSphere、OpenStack、AWS(Amazon Web Services)、Azureである。VMware vSphere環境での動作を例に挙げると、管理コンソールがVMware vCenterと連携し、vSwitchを使って複数のVLANを作成。さらに、ファイアウォール機能を提供する仮想サーバー群を配備する。VLANセグメント間の通信は、vSwitchにつながったゲートウエイのSegment Interfaceを介して行われる。

 使い方は簡単だという。設定は3ステップで終了する。対象とするクラウド環境を選び、リソースプールを定義し、セグメントのグループ化やポリシーの割り当てを行う。ファイアウォール機能を提供する仮想サーバー群は拡張性を確保しており、必要な機能ごとにサーバー台数を増減できるようにしている。

 セグメント間のアクセス制御ルールを定めるアクセス制御リスト(ACL)には、IPアドレスやポート番号だけでなく、アプリケーション名を指定できる。通信の中身まで判別し、これをアクセス制御に利用できる。さらに、あらかじめ設定したアクセス制御ルールだけでなく、感染したマルウエアによる不正な通信などを検知したことをトリガーに、自動で通信を遮断する運用もできる。

APEIROの概要
用途と機能仮想化技術を用いたクラウド環境をサイバー攻撃などから守って安全に運用するためのセキュリティソフト
特徴個々の仮想サーバーが所属するネットワークセグメントを用途ごとに細かく分割する“マイクロセグメンテーション”の考え方を採用していること
提供する主な機能クラウド運用ソフトと連携してVLANセグメントを分割する機能
|セグメント間の通信をファイアウォールで監視して制御する機能
マルウエアを検知して防御する機能
など
製品の構成要素■管理コンソール
■Segment Interface(セグメント間の通信を仲介するゲートウエイ)
■Deep Packet Inspection(ゲートウエイの背後で動作し、アプリケーションを認識しつつ通信が安全かどうかを判断)
■Malware(ゲートウエイの背後で動作し、マルウエア検出製品と連携してマルウエアを検出)
いずれも、仮想サーバーとしてクラウド環境の上で動作する
対象とするクラウド環境VMware vSphere
OpenStack
AWS(Amazon Web Services)
Azure
アクセス制御ルールIPアドレスやポート番号だけでなく、アプリケーション名を指定できる。通信の中身まで判別し、これをアクセス制御に利用できる
価格ライセンスは、帯域性能ベースのライセンスと、使った分だけ課金する従量制ライセンスの2種類がある。価格はオープンで、帯域性能ベースの参考価格は、最小構成となる帯域10Gビット/秒で1000万円程度から
発表日2017年6月29日
出荷日2017年6月29日
備考発表日/出荷時と価格は、販売代理店である東京エレクトロンデバイスの場合