2 仮想化・VDIに"いちばん"フィットする「Trend Micro Deep Security」
トレンドマイクロ
福井順一氏
仮想PC方式のVDIでは、各仮想PCには従来と同じ環境設定やアプリケーションが利用できる点が大きなメリットとなっている。しかし、セキュリティ対策においては、従来のデスクトップ向けのソリューションをそのまま適用すると大きな問題を引き起こすかもしれない。そう指摘するのはトレンドマイクロ ソリューションマーケティング部でプロダクトマーケティングマネージャーを務める福井順一氏だ。
福井氏は、仮想化環境には仮想化環境に合ったセキュリティ対策が必要だと強調する。仮想化環境では、ネットワーク型のツールでは防ぐことができない仮想マシン間での攻撃や感染など、新たなリスクも発生するからだ。複数の仮想化ホストでセキュリティレベルを統一しなければならないなどといった管理上の課題もある。それに加えて、VDI環境の場合には次のような特有の課題も生じてくるという。
AV(Anti Virus)検索リソースの集中による仮想化ホストへの過負荷
- ログインストーム
- 同時刻に多数のユーザがログインしたタイミングで、ウィルス対策ソフトウェアが一斉にアップデートを開始して負荷が増大する。
- パターン配信によるネットワーク洪水
- 仮想デスクトップへのパターンファイルの一斉配信によってネットワークやストレージの負荷が増大する。
運用管理の負荷増大
- ウィルス対策パターンファイルの更新
- Floating方式を使った場合に、マスターイメージへのパターンファイルの更新が必要
- 仮想PCごとの設定管理
- 仮想デスクトップごとに個別に設定やパターンファイルの管理が必要。
そこで同社のVDI向けセキュリティ対策ソリューション「Trend Micro Deep Security」(以下、Deep Security)では、"オフロード式"のウィルス対策によって上記の課題を解決するという。オフロード式とは、ウィルス検索を実施する専用の仮想マシン(DSVA: Deep Security Virtual Appliance)を用意し、仮想OSで発生するI/OのやりとりはすべてフックしてDSVAで検査する方式を指す。各仮想OSにはVAで検査済みのデータが渡される。
図2.1 Trend Micro Deep Securityの特徴
※クリックすると拡大画像が見られます |
図2.2 検索処理中のCPU使用率を大幅に改善できる
※クリックすると拡大画像が見られます |
この方式であれば、仮想OSごとにウイルス対策ソフトをインストールする必要がないため、前述のような負荷の増大が発生しない。設定やパターンファイルの更新・管理はDSVAのみを対象に行えばよく、サーバ管理者側でコントロールできるので堅牢性も高めることができる他、ハードウェアリソースが節約できるというメリットもあるとのことだ。
[※VDI環境特有のセキュリティ課題についてはこちらの記事も参照していただきたい。]