VMwareの言う「セキュリティをアーキテクチャーから入れる」とはどういうことか？を訊いてみた

2015年8月30日よりサンフランシスコにて開催されているVMworld 2015。開催2日目のジェネラルセッションに登壇したCEOパット・ゲルシンガー氏のプレゼンテーションで気になる言い回しがあった。それは「セキュリティを実現するためには、Built-in（後から組み込む）やり方とBolted-on（後から括りつける）やり方がある。しかしそれはどちらも間違っている。VMwareはそれをアーキテクチャーとして元から設計すること、つまりArchitectured-in（最初から製品の設計の中に含む）ことを実現している」という部分だ。

これは「コンシューマにとってはシンプルであることが重要」でありつつ、「エンタープライズにとってはセキュリティが重要」という文脈で出てきたスライドの一部だが、実際にこれが意図するのは具体的に何なのか?をVMware Asia Pacific & Japanのシニアディレクター、プロダクトマーケティングのムニーブ・ミナズディン（Muneyb Minhazuddin）氏に単独インタビューを行った。

日本を含むアジアパシフィック地域の製品を統括するミズナディン氏

VMwareのAPJ担当としてすべての製品のマーケティングを統括する立場のミナズディン氏だが、今回は「セキュリティをアーキテクチャードインする」とは具体的にどういうことなのか？というシンプルな質問をぶつけてみた。以下にムニーブ氏の説明をまとめた。

「まずはBuilt-inとBolted-onとは具体的にどういうことかを説明しましょう。Built-inは文字通り暗号化やパケット制御などの機能をソースコードの中に記述して実現することですが、それとは別に作られた機能を後からソースコードに貼り付けるように実現すること、プラグイン的な発想で機能を実現すること、これがBolted-onという実現方法と言って良いと思います」

「それに比べてアーキテクチャードインとはどういうことなのか、製品を挙げて具体的に説明しましょう。まず仮想化基盤の中でvSphereはコンピュート、つまりCPUを担当するコンポーネントになります。さらにストレージと、それらを繋ぐネットワーク基盤としてのネットワークバーチャライゼーションであるNSXがあります。ここでNSXは単なるネットワークスタックではなく仮想化のコンポーネントを繋ぐプラットフォームとして利用されていることがわかります。そしてNSXはトラディショナルなOSIの階層化モデルを分離する破壊的に斬新なソフトウェアであることはもうお分かりだと思いますが、全てのコンポーネントと通信しながら暗号化やポリシーベースの制御を行うことが可能です。つまり仮想化のネットワークスタックであるNSXは単にスイッチやロードバランサーなどの従来のネットワーク機器をソフトウェアで代替するという位置付けよりも各コンポーネントのバックボーンとして通信とセキュリティを同時に行うことができる、つまりアーキテクチャーの中にセキュリティがあらかじめ設計されている、という部分を指しています」

30分という短い時間であったが、パット・ゲルシンガーCEOが語った抽象的な内容を確実に具体的な製品名を挙げて即座に説明できる辺りにミナズディン氏の深い知識と経験の一端を感じられたインタビューであった。実際には2012年に買収を発表したNiciraのネットワークスタックであるNSXがこのようにアーキテクチャーからセキュリティを念頭において設計されていたのだとすると、それを買収したVMwareは先見の明があったと言えるのかもしれない。

NSXの構造については少し古い記事になるが、ヴイムウェア株式会社のエバンジェリスト、桂島氏の記事が参考になるだろう。

VMware NSX の発表-ネットワーク仮想化の実現（Part 1）
https://blogs.vmware.com/jp-cim/2013/03/vmware-nsx.html

セキュリティに関しては今後もVMwareの製品動向を追いかけていきたい。