仮想環境で守るべき対象--着目すべきポイントは?
シマンテック 広瀬 努氏
(プロダクトマーケティング部 プロダクトマーケティングマネージャ)
仮想環境のセキュリティで新たに注意すべき点は、ハイパーバイザーとvCenter のセキュリティです。
特にvCenterは、管理コンソールとESXiホストを切り離すことができるロックダウンモードを持つため、セキュリティ確保は必須です。また、多数存在するハイパーバイザーを束ねて動くため、仮想環境の根幹とも言えます。vCenterの保護は忘れられがちですが、これを安全に保つことは仮想化システム全体のセキュリティを考える上で大変重要です。
大久氏:vCenterは基本的にWindows OSとその上のアプリケーションです。vCenterは通常のWindowsと同じようにマルウェアの感染リスクがあります。OSに脆弱性が残っていれば、そこからマルウェアに感染しIDやパスワードなどが盗まれ、vCenterが不正に悪用されるというリスクがあります。また内通者によるvCenterの悪用も考えられるためセキュリティ対策を万全にしておく必要があります。
広瀬氏:しかし、このvCenterは基本的に堅牢です。そのために、セキュリティを曖昧に捉えてしまう方もいらっしゃるように感じています。例えば、ゲートウェイのセキュリティを確保していた場合、ゲストマシンには何も入れなくて良いと考えてしまうかたが多いのと同じ。また、スキャンの実施や定義ファイルの更新、これらが影響しPCが重くなったと感じられてしまうことは、セキュリティを考えていただく上で、重要な課題にもなり得ます。
守るべき対象は見えている、一方で管理者は社内ユーザーの使い勝手も意識しなければならない。この両立が難しいのではないでしょうか。
大久氏:仮想環境でのアンチウイルスについて、シマンテックさんとしては、どのように考えているのでしょうか?
広瀬氏:意外かもしれませんが、パターンファイルに頼るアンチウイルスは時代遅れであり標的型攻撃を防ぐことはできません。闇市場に出回っているマルウェアの作成ツールを利用すれば一からプログラミングしなくても容易にマルウェアを作成することが可能です。既存のパターンファイルで検出できないことを確認したマルウェアを標的となる企業に送ってくるので、パターンファイルをいくら最新にしていても後手に回ってしまうのです。
仮想マシンも犯罪者からみればネットワーク上は物理マシンと変わりありません。仮想マシンにおいても古典的なパターンマッチング方式にたよるアンチウイルスでは昨今の脅威には対抗できないのです。当社のSymantec Endpoint Protectionは、ブラウザやJavaの脆弱性を狙う攻撃をブロックすることでマルウェアの種類に関わらず感染を防ぐ仕組みや、プロセスの挙動を分析して未知のマルウェアを検出したり、クラウド上にあるアプリケーションの安全性評価データベースを利用することで安全だと認識されたアプリケーション以外侵入させない仕組みを組み合わせて利用することで未知の脅威を防いでいます。仮想環境においてもこうした新しい防御技術を備えたセキュリティ対策が必須と考えています。
大久氏:仮想環境のセキュリティを考える上では、ワークフローも重要ですよね。
仮想環境は物理環境と比べて非常に仮想マシンを作りやすい。中には明確な計画もなく作成されてしまった仮想マシンもあり、作成したまま放置してしまっているケースも見受けられます。
ワークフローを見直すことで、セキュリティやガバナンスの強化は大事なポイントです。弊社のvCloud Automation Centerは、仮想環境の作成についてワークフローとポータルを提供し承認制を導入することを容易にしています。
広瀬氏:仮想環境を承認制にする、確かに重要な要素です。
セルフサービスで仮想マシンを立ち上げることができるため、うっかりセキュリティ対策を導入し忘れるという人為的なミスも考えられます。ワークフローを利用した仮想マシンの調達のオートメーション化を進めることで抜けや漏れを無くすことができるようになれば、より安全な仮想環境の運用が可能になるのではないかと思います。
大久氏:それにバックアップの考えも重要になってきますね。
仮想マシンは廃棄まで考えないといけない。申請の際に、いつまで使用するかを予め設定をすることで、期日には自動的に回収することで、リソースの効率化はもちろんコンプライアンスの強化も期待できます。
インタビューを終えて--仮想環境の全社導入を検討する企業へのメッセージ
お客様の大切なデータを守るために、使いやすいツールを提供することがシマンテックの使命だと考えています。そのためには、簡単な操作性と高度な機能の両立が必須です。今後も、最新の技術を実現しながら、物理と仮想が混在した環境でも、統合的に管理できるツールの提供をめざしていきます。
バックアップは、重要度が特別高い場合でなければ、丸ごと仮想イメージをとっていただくのが一番シンプルな方法かもしれません。重要度が高い場合は付随するプログラムとの連携を見極め、バックアップエージェントを導入するなどバックアップの方法を分けていただければ課題に感じられることも減って行くと考えています。
技術は日々向上、バックアップマシンの効率化はもちろん、ワークフローを見直し、ガバナンスも効かせていく。仮想環境に感じられている課題は多いかもしれませんが、全て解決できるとも感じました。
今回の調査ではお客様が課題に感じている点を把握できた点が重要です。バックアップ製品の選定を困難に感じられている回答者が多いため、今後もお客様の環境を考慮した製品、ノウハウをガイドしていきたいと考えています。
物理環境だけでなく仮想環境においてもパターンファイルに頼るアンチウイルスは完全に時代遅れ。多くの日本企業はこの点に気づいていないから欧米に比べセキュリティが遅れている。このことを広くお客様に伝えることが重要なテーマだと考えています。
その上で、認証セキュリティの強化、vCenterの管理徹底など、仮想環境のメリットを最大限取り込めるようガイドをしていくのが今後考えるべきことと強く感じました。
