Japan VMUG vExpert が語る #54 Session Speaker

4月22日に開催されたJapan VMUG vExpert が語る #54にて

Session Speakerとして登壇させていただきました。

今話題のベンダーロックオン問題などを交えて、病院情シスvExpertとして話させていただきました。

ぜひ！！ご覧ください。

医療機関におけるZero Trust実装：VDI・NSX・Carbon Blackで実現する多層防御アーキテクチャ

 医療機関におけるITインフラは、単なる業務基盤ではなく「止めてはいけない社会インフラ」です。特に電子カルテを中心としたシステムは、可用性とセキュリティの両立が強く求められます。

近年、ランサムウェアをはじめとするサイバー攻撃は高度化しており、従来の境界防御モデルだけでは対応が困難になっています。そこで重要となるのが「Zero Trust」の考え方です。

本記事では、当院で実際に運用している仮想基盤をベースに、VDI・NSX・Carbon Blackを組み合わせた多層防御アーキテクチャについて解説します。

全体アーキテクチャ

本環境では、エンドポイント・ネットワーク・ワークロードの3層でセキュリティを設計しています。

 図①：全体構成（Zero Trustアーキテクチャ）

[ ユーザー ]

     ↓

[ VDI (Horizon / Instant Clone) ]

     ↓

-------------------------------

|        仮想基盤 (vSphere)     |

|                              |

|  [ NSX マイクロセグメント ]   |

|      ↓        ↓        ↓      |

|   EMR     部門システム   管理系 |

|                              |

| [ Carbon Black Workload ]     |

-------------------------------

     ↓

[ vSAN ストレージ ]

① エンドポイント対策：VDI × Instant Clone

従来の物理PC中心の運用では、以下のリスクが常に存在していました。

* 端末紛失による情報漏洩

* マルウェア感染の持続

* パッチ未適用端末の存在

これに対し、VDI（Horizon）とInstant Cloneを活用することで、

* セッション終了時に環境をリセット

* データを端末に保持しない

* 常にクリーンなOSを提供

という仕組みを実現しています。

図②：従来PC vs VDI比較

② ネットワーク対策：NSXによるマイクロセグメンテーション

院内ネットワークでは、従来フラットな構成が多く、侵入後の横展開（ラテラルムーブメント）が大きなリスクでした。

NSXを活用することで、

* システム単位で通信を制御

* 不要な通信を完全遮断

* 最小権限の通信のみ許可

という設計を実現しています。

図③：マイクロセグメンテーション概念

[ VDI ] → [ EMR ] （許可）

[ VDI ] → [ 管理サーバ ] （禁止）

[ 部門A ] → [ 部門B ] （禁止）

[ 管理端末 ] → [ 全体 ] （許可）

③ ワークロード対策：Carbon Black Cloud Workload

仮想マシン自体の保護として、Carbon Black Cloud Workloadを導入しています。

これにより、

* リアルタイム脅威検知

* 振る舞いベースの防御

* ハイパーバイザーレベルでの可視化

が可能になります。

図④：多層防御モデル

[ エンドポイント ] → VDI

[ ネットワーク ] → NSX

[ ワークロード ] → Carbon Black

医療におけるZero Trustの実装

本構成のポイントは以下です。

* エンドポイントを無信頼化（VDI）

* ネットワークを分割（NSX）

* ワークロードを監視（Carbon Black）

これにより、

「侵入されても被害を最小化する設計」

を実現しています。

医療機関においては、セキュリティと可用性はトレードオフではなく、両立すべき要素です。

今後も、仮想基盤を中心としたセキュリティアーキテクチャを進化させながら、安全で持続可能な医療IT基盤を構築していきます。

【Horizon】「ThinApp」によるアプリケーション仮想化の極意

 VDI（Horizon）の構築において、App Volumesは非常に魅力的なソリューションです。しかし、当院のような「医療パッケージソフトが主役」の環境では、必ずしもそれが最適解とは限りません。

医療機関向けアプリは、独自のレジストリ書き換えや古いバージョンのランタイムを要求する「じゃじゃ馬」ばかりです。複数のアプリを動的にマウントするApp Volumesでは、時にアプリケーション間の競合が発生し、その切り分けに膨大な時間を取られるリスクがあります。そこで私は、VMware ThinApp によるアプリケーションの完全独立化を選択しています。
現在は、バージョンも新しくなったomnissa版のThinAppでカプセル化しています。

ThinAppの真骨頂は、アプリが必要とするファイルやレジストリを、一つの実行ファイル（.exe）の中に「カプセル化」できる点にあります。これをマスターイメージに焼き込むことで、OS側をクリーンな状態に保ちつつ、複数の異なるJavaバージョンを共存させることができます。

こだわりは「サンドボックス（書き込み領域）」の配置です。デフォルトではユーザープロファイル内に作成されますが、私はこれをローカルの非永続領域に設定。ログオフ時にリセットされるように設計することで、アプリの挙動が不安定になるのを防いでいます。「枯れた技術を、最新のvSphere基盤上でスマートに使い倒す」。これこそが、VDI運用における「水平思考」の極致です。