シマンテックは11月5日、VMware仮想環境における同社セキュリティ製品群の新機能について説明した。同社は8月に開催されたVM World 2012で、関連する10製品のアップデートを発表しており、今回の説明はエンドポイントセキュリティ製品「Symantec Endpoint Protection(SEP)」とサーバセキュリティ製品「Symantec Critical System Protection(CSP)」に関する内容となっている。

CSPはあらかじめシステムの動作ポリシーを設定して、レジストリや通信内容を監視し、ポリシーに反する機能をロックする製品。利用用途を定め、それ以外は使用できなくする"システムロック"で、ミッションクリティカルなシステムのセキュリティを確保する。重要なシステム向けのセキュリティソリューションとして、データセンターや政府系システムなどに採用されているという。

利用が増えている仮想化環境では、見過ごすことのできないリスクとしてハイパーバイザーや仮想化管理システムへの攻撃が挙げられる。しかし、シマンテック リージョナルプロダクトマーケティングマネージャの広瀬努氏は、個人的な感想としつつも「仮想化環境でゲストへのセキュリティには注意が払われるが、ハイパーバイザー自体のセキュリティについてはまだ意識が低いと感じている」と述べる。実際に、感染したマシン内で、仮想化イメージを探し、マウントして自らをコピーする「W32.Crisis」といった仮想化環境ならではリスクも発生している。

仮想化環境でのセキュリティリスク

このような課題に対して、9月にリリースされたCSP 5.2では、ハイパーバイザー(VMware ESXi 5.0)や管理ツール(VMware vCenter Server 5.0)を保護する機能が追加されている。

ハイパーバイザーの保護では、まずCSP監視用エージェントを入れる仮想マシンを用意。このエージェントがvCLI経由で、ハイパーバイザーのログイン成功や失敗、ログ、コンフィグなどを監視して、異常があった場合にアラートを出す仕組みとなっている。これらの監視ポリシーはVMwareの「VMware Hardening Guide」に沿った内容があらかじめ用意されており、ユーザーはこれらを適用させるのみとなっている。

また、管理ソフトであるVMware vCenter Server 5.0では、インストールされたWindows ServerにCSP監視用エージェントを入れ、vCenterの動作を許可したもののみにロックする。こちらのポリシーも同様にプリセットされている。

CSPによるVMware ESXi 5.0の保護イメージ

一方のSEPでは、2011年に発表されたSEP 12で、レピュテーション技術「Insight」を導入。また、Insightには、すでに評価したファイルの情報をキャッシュして共有する「Shared Insight Cash」という機能が用意されており、今回これがVMware vShieldに対応する。仮想環境内にShared Insight Cashサーバを設置し、他のゲストマシン間とvShield Networkを利用してスキャン結果を共有する仕組みとなっており、12月に公開されるRelease Update 2で対応する予定となっている。

仮想化環境の広がりにともないVDI(Virtual Desktop Infrastructure)の利用も増えてきている中で、複数の仮想マシンが同じタイミングでウイルススキャンを行った際などの物理リソースへの過負荷が課題となっていた。

今回、Shared Insight CashがVMware vShieldに完全対応することで、スキャン済みの重複ファイル情報を仮想環境間で共有することで、スキャン時間の短縮化や負荷の軽減を図ることが可能になるとしている。

なお、このアップデートでSEPは、Windows 8やWindows Server 2012、Mac OS 10.8といったゲストへの対応も行われる予定。