さまざまなユーザー属性に対応した
強制的なガバナンスの実現
ダメージコントロールにおけるもうひとつ重要ポイントとなるのが、フルスペックVDIを活用したITガバナンスの強制である。
従来の物理PC(FAT環境)では、すべてのユーザーが使用するすべてのデバイスに対して、各自の役職や権限に応じた設定を施し、業務で必要なアプリケーションをインストールするなど、個別のキッティングを行わなければならなかった。当然、その後のメンテナンスも個別対応あるいはユーザーまかせとなり、セキュリティパッチの適用が遅れる、ポリシー違反のアプリケーションを勝手にインストールするなど、時間の経過とともに個々のセキュリティレベルにバラツキが生じてしまう。そのまま放置すれば、サイバー攻撃の格好のターゲットにされてしまうのは言うまでもない。
そこでVDIを導入することで、すべてのユーザーのデスクトップ環境を仮想化し、データとともにサーバ側で集約管理するのである。
「VMware Horizonの『インスタントクローン』という機能を利用すれば、ユーザーごとの属性(パターン)に応じたアプリケーションや個人設定、データをモジュール化することが可能。このデスクトップ環境をログイン時にオンデマンドで割り当てることで、強制的にガバナンスを効かせることができます」と楢原氏は語る。さらに言えば、仮にいずれかの仮想デスクトップが高度標的型攻撃やランサムウェアのマルウェアに感染した場合でも、ログオフされた仮想デスクトップは初期化されるため、ログインし直すだけで感染前の状態に簡単に復旧することができる。
管理者にとっては、これまでユーザー個別のキッティングやメンテナンスに費やしていた手間がなくなり、運用負荷を大幅に低減できるのも大きなメリットだ。
加えてVMware Horizon では、同じデスクトップ上でOSとアプリケーションを分離して実行する「VMware ThinApp」という機能も提供している。アプリケーションおよびその動作に必要なOS(Windows)機能を単一の実行ファイル(EXEファイル)にカプセル化して提供するもので、他の機能と依存関係を持たないことから Windows のバージョン間の互換性や他のアプリケーションとの競合に起因する問題も回避できる。「例えば既存資産の中に、すでにサポートが終了した旧バージョンのIE上に構築されたWebアプリケーションが残っている企業が少なくありません。こうした塩漬けされたアプリケーションをどうしても継続して使わなければならない場合でも、強制的なガバナンスを効かせることができます」と楢原氏は語る。
サイバー攻撃の実態に即した包括的なCSIRT運用を構築する上で、ヴイエムウェアの仮想化基盤は非常に効果的なセキュリティ・アーキテクチャとなるのだ。
ユーザ属性に順応した強制的なガバナンス
※クリックすると拡大画像が見られます
