シリーズで掲載しているVCF 9.1記事ですが、本日は、弊社Broadcom のアプリケーション・ネットワーキング&セキュリティ事業部長であるUmesh Mahajanの投稿をご紹介いたします。ご参照ください。
デジタル環境がAI時代に突入する中、アプリケーションを守る従来の方法は根本的な課題に直面しています。高度なAIモデルの登場により、攻撃者側の優位性が高まっており、AIを活用することで、経験の浅い攻撃者でさえ、極めて低コストかつ前例のない規模で半自律的に活動しながら、高度なハッカーへと武装化されています。ランサムウェア集団や国家主体の攻撃者が、こうしたサイバー兵器を用いて引き起こしうる甚大な被害を想像してみてください。近年、ランサムウェア攻撃により、企業の業務が数週間から数ヶ月にわたり停止し、数億ドル規模の経済的損失が生じています。サイバーレジリエンスを維持するためには、組織は事後対応型のセキュリティから脱却し、ラテラルセキュリティとバーチャルパッチ適用を中心とした多層防御戦略を早期に行う必要性があります。
AIによる脆弱性発見の津波
最先端のAIモデルは、未知の(ゼロデイ)ソフトウェアの脆弱性(バグ)を特定し、それらを悪用する方法を見つける知性を備えており、その速度はかつてないほど高速です。攻撃者はこれらの脆弱性を利用して企業・組織のデジタル環境に侵入し、横方向へ拡散、ホッピング、ハンティングを行い、金銭の要求や機密情報の窃取を目的として高価値な資産を探し出します。攻撃者は半自律的に、広範囲・大量かつ/または標的型の攻撃を開始でき、その結果、攻撃対象領域が指数関数的に拡大します。「隠蔽によるセキュリティ」は、もはや有効なサイバーセキュリティ戦略とは言えません。
企業・組織がソフトウェアの脆弱性に対して迅速にパッチを適用できれば、セキュリティ侵害のリスクやその拡大を確実に抑えることができます。しかし、これは非常に時間がかかり、多大なリソースを要する作業です。数千ものソフトウェアツールやアプリが存在し、それぞれが異なるソフトウェアバージョンを持ち、様々な種類のハードウェアやオペレーティングシステムに展開され、複数のデータセンターに分散しています。大規模な組織では、組織全体にパッチを展開する「パッチ適用レース」に数週間から数ヶ月を要し、その結果、組織は侵入や金銭の要求、さらには業務中断のリスクにさらされたままになります。
ワークロードやアプリに対して放たれるこの脆弱性への攻撃の津波から迅速に防御し、リスクを低減するためには、企業はプライベートクラウドのワークロードに対して以下の2つの主要な防御策に注力する必要があります:
- 侵入防止システム(IPS)およびWebアプリケーションファイアウォール(WAF)を活用したバーチャルパッチ適用の実装
- ラテラルセグメンテーションによる攻撃の拡散の抑制
バーチャルパッチ適用とは?
バーチャルパッチ適用とは、資産のフロントエンドにあるネットワークまたはアプリケーション配信レベルでセキュリティポリシー層を実装し、資産を保護する脆弱性対策の手法です。これらの対策により、脆弱なソフトウェアに到達する前に攻撃を遮断・ブロックし、ソフトウェア自体ではなく通信経路上の欠陥に対して効果的に「パッチ適用」します。
バーチャルパッチ適用の主な利点
- アプリケーションの可用性:リスクを軽減しつつ、アプリケーションや資産の可用性を確保します
- コード変更不要:ソフトウェア更新やパッチの展開を必要とせずにアプリケーションを保護します。ソフトウェアパッチは機能の後退を引き起こす可能性がありますが、このアプローチではそのリスクを排除します
- ターゲットを絞ったシグネチャ:誤検知やパフォーマンスへの影響のリスクを低減します
- ゼロデイ保護:公式パッチがまだ存在しない脆弱性に対して迅速に対応します。
- レガシーシステムのサポート:ビジネス運用に依然として不可欠な、サポート終了した古いシステムを保護します。レガシーアプリケーションにはパッチが存在しない場合もあります
- 時間の確保:脆弱性にさらされたままになることなく、恒久的なベンダーパッチをセキュリティチームがテストおよび展開するために必要な時間を確保できます
- コンプライアンスの支援:PCI-DSSやHIPAAなどの多くの規制では、コンプライアンス準拠するにはセキュリティ対策の適時な導入が必要です
vDefend 分散型 IDPS:ハイパーバイザー組み込み型バーチャルパッチ適用
VMware vDefend は、セキュリティ機能を VMware Cloud Foundation (VCF) のハイパーバイザー・ファブリックに直接統合することで、ワークロードのバーチャルパッチ適用に革新的なアプローチを行います。vDefend IDPS(不正侵入検知・防止システム)は、すべてのワークロードの vNIC に直接適用され、VCF プライベートクラウド内を移動するアプリケーショントラフィック(すべてのパケット)を詳細かつきめ細かく検査し、特にネットワーク層の脆弱性攻撃やラテラルムーブメントに対応します。
vDefend IDPS によるバーチャルパッチ適用
- ハイパーバイザー統合型検査:vDefend の分散型 IDPS は、すべての VCF ワークロードの vNIC でネットワークトラフィックを検査します。これにより、パッチが適用されていないサーバーが、ネットワークの外部または内部から発せられる攻撃によって悪用されるのを防ぎます。
- 自動化された動的ポリシー:脆弱性スキャンを実行してワークロードを特定し、適切なタグを付与した上で、限定されたIDPSシグネチャセットを用いたバーチャルパッチ適用
ポリシーを作成します。新たな脆弱性のあるワークロードが特定されタグ付けされると、ポリシーが自動的に適用され、脆弱なワークロードは即座に保護されます。
- ラテラル・セキュリティ:IDPSは、攻撃者が脆弱性を悪用して環境内で横方向の移動を行い(最終的に高価値な資産を侵害する)、攻撃を拡大することを防ぎます。
脆弱性対策の例
- Moveit Transfer 認証バイパス (CVE-2024-5806): Moveit Transfer の SFTP モジュールに存在するこの脆弱性により、攻撃者は認証をバイパスし、パスワードなしでファイルを盗み出すことが可能でした。vDefend は、初期接続フェーズにおける「不十分な検証」というロジックパターンを検出し、攻撃を未然に阻止します。
- Ni8mare (CVE-2026-21858): n8n 自動化プラットフォームに存在するこの認証不要の RCE 脆弱性により、攻撃者は「Content-Type の混同」を利用してシステムを完全に乗っ取ることが可能になります。vDefend は、これらの不正な形式の JSON ペイロードや悪意のあるヘッダーの不一致を識別し、攻撃者が内部ワークフローを乗っ取ってデータセンター内で横方向の移動を行う前に、脆弱性への攻撃をブロックします。
- Log4Shell (CVE-2021-44228): vDefend IDPSは、Log4Shellの脆弱性を悪用しようとする試みを検知し、防止します。Java Naming and Directory Interface (JNDI) に存在するこの脆弱性を悪用すると、悪意のあるスクリプトをダウンロードしてリモートコード実行を行い、標的となったシステムを完全に制御することが可能になります。(デモ:VMware vDefend ATPによるLog4Shellへの対策-英語)
vDefendの優位性:これらの例においてvDefend IDPSが強力な理由は、そのアーキテクチャ上の優位性、シグネチャ戦略、そして運用上のシンプルさにあります。
- AIによる脅威が蔓延する現代において、スピードは極めて重要になります。vDefendに組み込まれたクローズドループ型セキュリティアーキテクチャは、VCFプライベートクラウドプラットフォームとの統合を通じて、検知だけでなく迅速な緩和措置も提供し、攻撃者の潜伏時間を劇的に短縮します。
- vDefend IDPSは、頻繁に(1日に複数回)更新されるIDPSシグネチャをサポートしており、世界最新の脅威から確実に保護します。Broadcomには、新たな脆弱性攻撃を積極的に分析し、シグネチャを作成してシグネチャバンドルを更新する脅威インテリジェンスチームが存在します。
- さらに、IDPSはカスタムIDPSシグネチャをサポートしています。お客様は、サードパーティから信頼できるシグネチャをインポートしたり、内製で開発したりして、アプリケーションにバーチャルパッチを適用できます。これにより、真にオーダーメイドのセキュリティ体制を実現します。
vDefend 分散型ファイアウォール:不正な横方向の拡散を制限
脅威の横方向への拡散をさらに制限するため、vDefend はハイパフォーマンスなハイパーバイザー組み込み型のレイヤー7分散型ファイアウォール(DFW)も提供します。これにより、高度に最適化されたコンテキスト(またはタグ)ベースのセキュリティポリシーを通じて、VCFワークロードの包括的な横方向のセグメンテーションが可能になります。横方向のセグメンテーションには、マクロおよびマイクロセグメンテーションの両方が含まれ、インフラストラクチャサービス、環境(またはゾーン)、およびアプリケーションへの信頼できる(最小権限の)アクセスを確保するために適用されます。DFWは完全なスケールアウトに対応しており、(従来のファイアウォールとは異なり)トラフィックの非効率な経路やネットワーク変更の必要性を排除し、vMotionイベント中もセグメンテーションの状態を維持します。また、組み込みの規範的なセグメンテーションポリシー導入ツール「DFW 1-2-3-4」(ブログ)を備えており、わずか数週間で全ワークロードにわたる迅速なセルフ導入を可能にします。
Avi Web Application Firewall:Webアプリケーション向けバーチャルパッチ
vDefendが内部ネットワークを保護する一方で、Avi Web Application Firewall(WAF)はWeb向けアプリケーションの第一防衛線として機能し、Webレイヤーでバーチャルパッチを提供します。
Avi WAFによる攻撃の防止方法
- エッジ防御:Avi WAFは、受信するノースサウス・トラフィックを分析し、OWASP Top 10に挙げられる脅威がアプリケーションに到達する前に特定・無力化します。
- プロトコル対応型検査:堅牢なHTTP/HTMLパーサーが複雑なプロトコル機能を理解し、難読化された脆弱性攻撃であっても、アプリケーションのペイロード内で確実に検知します
脆弱性対策の例
- SQLインジェクション(SQLi):Avi WAFは、Web入力フィールドから悪意のあるSQLコマンドを排除することで、脆弱性のあるデータベースにバーチャルパッチ適用します。例として、WordPressの「Premium SEO Pack」プラグインにおけるCVE-2025-31044が挙げられます。Aviはパイプラインベースのセキュリティモデルを採用し、受信トラフィックのさまざまな段階でSQLiに対して保護します。
- クロスサイトスクリプティング(XSS)およびクロスサイトリクエストフォージェリ(CSRF):Avi WAFに組み込まれたCSRF(クロスサイトリクエストフォージェリ保護)機能は、着信リクエストをサニタイズすることで、攻撃者がWebページにクライアントサイドスクリプトを注入するのを防ぎます。例えば、Aviは、AI開発者ツールに対する新しい種類のブラウザベースの攻撃を露呈させるMCPインスペクターツールの脆弱性(CVE-2025-49596)から保護します。
- React2shell (CVE-2025-55182):Avi WAFは、コマンドインジェクションやアプリケーション言語固有の攻撃などのリモートコード実行(RCE)の試みをブロックするほか、攻撃者がアプリケーションサーバー上で任意のコマンドを実行する原因となり得る、リモートファイルインクルード(RFI)やローカルシステムファイルインクルード(LFI)の試みもブロックします。脆弱性スキャナーと連携したAvi WAFによるバーチャルパッチ適用:Avi WAFには、動的アプリケーションセキュリティテスト(DAST)スキャナーの結果を取り込み、スキャナーによって検出されたセキュリティ脅威からアプリケーションを保護するためのカスタマイズされたWAFポリシーを構築できる組み込みSDKが備わっています。Avi WAFは、Qualys Web App ScanningおよびOWASP ZAP Attack ProxyのDASTスキャナー結果に対応しています。
Aviの優位性:Avi WAFの主な差別化要因は、ソフトウェア定義アーキテクチャ、スケールアウト機能、およびAviの顧客基盤への完全なアクセスです。
- 別途高額なライセンスを必要とする他のWAFソリューションとは異なり、Avi WAFはAviライセンスの一部としてすべてのAvi顧客が利用可能です。実質的に、すべてのAviロードバランサーの顧客は、デフォルトでWebアプリケーションを保護する機能を標準で備えています。
- また、AviはVCFと完全に統合されているため、VMおよびKubernetes(VMware Kubernetes Service – VKS)ワークロードの両方において、プラグアンドプレイの運用体験と、セルフサービス型のロードバランシングおよびWAFを提供します。
まとめ
AIによって脅威の状況が加速する時代において、「パッチ適用レース」は限界に達しています。組織は、セキュリティを維持するために、コードの更新が最終的に展開されることだけに頼ることはもはやできません。vDefend 分散型 IDPSによるラテラルバーチャルパッチ適用、vDefend DFWによるラテラルセグメンテーション、そしてAvi WAFによるWebアプリケーションセキュリティを活用することで、企業は包括的なプライベートクラウドサイバー防衛戦略を実行できます。この多層的なアプローチは、ハッカーによる脆弱性の悪用を阻止する即時的かつ包括的な防御を提供し、ITチームが長期的なアプリケーションの完全性を維持するために必要な時間を確保します。
(オリジナルの英語投稿記事はこちら:https://blogs.vmware.com/security/2026/04/virtual-patch-guard-tsunami-ai.html )
