ゲストOSには対策不要? - 仮想環境のセキュリティにまつわる「危険な誤解」

仮想環境に対策ソフトを入れるとシステム負荷で使えない?

仮想化環境では、動作している仮想マシンごとにセキュリティ対策が必要となる。しかし、ユーザーが懸念するのは「セキュリティ対策ソフトのスキャンなどで、仮想化システム全体に過剰な負荷がかかり、パフォーマンスが大幅に低下するのではいか」という点だろう。

たしかに、例えば対策ソフトのフルスキャンなどは、単独の物理マシン上であっても、他の負荷の高い作業と同時に実行するのが難しい場合がある。仮想化は、1つの物理マシン上で複数の仮想マシンを動作させる仕組みだ。その仮想マシンのひとつひとつで同じようにスキャンが行われた場合には、システムが停止しかねない負荷がかかってしまうのではないだろうか。

実は、近年のセキュリティ対策ソフトには、こうした仮想化環境での利用を想定した機能がある。例えば、シマンテックの提供する「Symantec Endpoint Protection(SEP)」には、同一の物理マシン上で稼働する、複数の仮想マシンにインストールされた場合に、全体のスキャン負荷を下げるための仕組みとして「共有インサイトキャッシュ」という機能が用意されている。

「仮想化環境と物理環境との違いのひとつは、仮想化環境では仮想マシン同士で『共有しているリソースが多い』という点です。仮想マシンでは、ひとつの物理マシンに搭載されているCPU、メモリ、ディスクなどを共同で利用します。この中で、全体のパフォーマンスに最も大きな影響を与えるのがディスクI/Oです。複数稼働しているゲストOSのうちの1つがディスクI/Oに過剰にアクセスすると、全体のパフォーマンスが極端に落ちてしまいます。SEPの『共有インサイトキャッシュ』では、この仮想マシンからのディスクI/Oを減らすための工夫をしています」(広瀬氏)

共有インサイトキャッシュの仕組みは、一度スキャンして「安全」と判断されたファイルについて、以後の他の仮想マシンのスキャン対象から外すというものだ。SEPには、世界規模で利用されているSEPのエンジンがファイルをスキャンした履歴を集計し、その出現頻度やスキャン結果から安全性を判定する「Symantec Insight」という仕組みが用意されている。これによって、安全である可能性が高いファイルのスキャンを省略することで、パフォーマンスを向上させることができるようになっている。

共有インサイトキャッシュでは、この仕組みに加えて、仮想化環境内でリソースを共有している仮想マシン間での「安全なファイル」に関する情報をシェアすることで、仮想化環境全体のスキャンに必要となるリソース量を低減することができるという。

「共有インサイトキャッシュにより、この機能を使わない場合との比較で、物理ディスクへI/O量が最大で70%軽減されるというテスト結果もでています。仮想化環境、特にVDIを構築しているような環境では、全体のパフォーマンスに大きな差が出てくるはずです」(広瀬氏)

このほかSEPでは、仮想マシンごとのスキャンタイミングを分散させることで、全体での負荷を平準化するといった仕組みも用意されているという。

ちなみに、パブリッククラウドのIaaSとして人気が高い「Amazon EC2」では、月額ライセンスで利用できるSEPを組み込んだサーバイメージの利用にも対応している。先進的な企業であれば、このEC2と同じような形で、プライベートクラウドによる社内向けIaaSを実施しているケースもあるだろう。IaaSの仕組みには、リソース調達のスピードが飛躍的に向上するというメリットがある一方で、管理が不十分な場合には、そこで構築したサーバを通じてマルウェアの被害を受ける可能性も増大する。プライベートクラウドにおいても、仮想サーバの管理ポリシーを設定すると共に、テンプレートとして最初からSEPを組み込んで仮想サーバを作成できるような環境を用意しておくことで、仮想化環境の活用によるセキュリティリスクを、より低減させることが可能になるはずだ。

「仮想化の時代」にふさわしいセキュリティ対策の必要性

今回は、主に仮想化環境のエンドポイントにおけるセキュリティ対策について見てきたが、そのほかにも、シマンテックでは、従来とは異なる、仮想化環境特有のセキュリティリスクに対応した製品や技術を提供している。

例えば、大規模なサーバ仮想化環境での基本ソフトウェアとなる「ハイパーバイザ」への攻撃に対処する製品として用意されているのが「Symantec Critical System Protection」(SCSP)だ。これは、ハイパーバイザ上で利用する通信ポート、プロトコル、アプリケーション、レジストリといったクリティカルな情報を完全に固定化(ロック)することで、外部からの予期しない変更を一切受け付けないようにするもの。いわばハイパーバイザを「要塞化」することで、より高いセキュリティレベルを確保する仕組みだ。ハイパーバイザについてはSCSP、エンドポイントについてはSEPといった組み合わせにより、仮想化環境における多層でのより強固なシステム保護が可能になる。

また、VMwareのvSphere向けには、オフライン状態になっている仮想マシンイメージの内部をスキャンする「オフラインイメージスキャナ」といった機能も用意されている。

「仮想化技術を活用した、クラウド、VDIといった仕組みがによってITがサービス化されると、これまで以上に資産管理やセキュリティの確保が重要になってきます。一方で、ハードとシステムの関係がますます疎になることで、そうした作業の煩雑さは増していくため、それをより容易に、自動的に行えるようにする仕組みも必要です。シマンテックでは、これまでも仮想化技術を提供するベンダーと共同で、そうした仕組みの開発に取り組んできましたが、今後もさらに連携を深めて、新たな技術、新しいITシステムの使われ方に適した製品を提供していきたいと考えています」(広瀬氏)

シマンテック 関連資料

• 仮想デスクトップのマルウェア対策機能
• Symantec Endpoint Protection 12 対 Trend Micro Deep Security 8(Tolly テストレポート)

最新ITリスク対策 注目記事一覧

• 【レポート】手法が高度化する「標的型攻撃」、その実態と企業を守るための考え方を聞く
• 【レポート】標的型攻撃への対策に有効!「シマンテック ドット クラウド」に備わる技術
• 【レポート】日本企業の情報は高値!? グローバル化で変わったセキュリティの新常識
  
• 【レポート】成長する企業に求められる「新しいセキュリティ対策」
• 【レポート】仮想環境バックアップに潜む、意外な落とし穴
• 【レポート】ゲストOSには対策不要? - 仮想環境のセキュリティにまつわる「危険な誤解」