から保護する 2つの方法
Maxim Weinstein、CISSP、Senior Product Marketing Manager
仮想化システムを導入することで、運用コストの削減、管理
の簡素化、仮想環境のサーバーやデスクトップ PC の可用性
の向上を期待できます。しかし、仮想環境で、パフォーマン
スや便宜性に影響を与えることなく、仮想マシンをマルウェ
アから保護することは大きな課題です。
このホワイトペーパーは、セキュリティ担当者や仮想化担当
者などの IT 担当者を対象に、仮想環境を保護する最新のソ
リューション 2種類 (vShield Endpoint を使用したエージェ
はじめに
組織で使用されるテクノロジーは、ここ何年かで、ますます複雑化してきました。現 在、IT 部門は、モバイルワーカー、さまざまなポータブルデバイス、インタラクティブ な Web サイト、多種のビジネスクリティカルなアプリケーション、および従来のネッ トワークサービスやインフラをサポートする必要があります。多くの組織で IT 支出が 伸びているとはいえ、各種サービスの需要に対応できているのはまれです。このため、 効率よく対応能力を拡張する手段として、IT 担当者は仮想化に注目し始めています。 サーバールームやデータセンターにおいて、仮想化は、簡単な管理、およびハードウェ アコストや運営費用の削減などのメリットを提供します。仮想デスクトップインフラ (VDI) を使用すると、ますます増加するモバイルワーカーの作業環境にもこのようなメ リットを拡張できるだけでなく、従来のエンドポイント環境では難しかった高レベルの 管理・監視も実現できます。 仮想化のメリットの 1つとして、しばしばセキュリティが挙げられます。しかし、現実 には、仮想化の導入によってセキュリティが向上することもあれば、セキュリティの問 題が発生することもあります。仮想プラットフォームを導入すれば、サンドボックス、 データ集中化、強化された構成の簡単な複製など、新しいセキュリティ機能を利用でき るようになります。一方、導入やクローンが簡単であるために、仮想マシン (VM) のス プロール現象につながる恐れがあり、すべての VM に適切なセキュリティ対策を提供す ることが難しくなります。さらに、パフォーマンスや統合比 (物理サーバー 1台にホス ティングする VM の数) を重視するあまり、リソースを過度に節約してセキュリティに 影響を与えてしまう場合もあります。 VMware は、サーバー仮想化のマーケットリーダーとして、組織が仮想化システムを 導入・管理するための革新的なソリューションを開発しています。たとえば、VM をマ ルウェアから保護する最新の方法として、VMware の vShield Endpoint テクノロジー に基づいた、エージェントレス型マルウェア対策ソリューションがあります。vShield Endpoint は、VMware の vSphere 製品のほぼすべてのエディションに含まれてお り、マルウェア対策による重要なセキュリティ機能を、高レベルのパフォーマンスと統 合率が要求される仮想化システムに提供しています。 セキュリティベンダーのなかには、vShield ベースのマルウェア対策ソリューションだ けでなく、VMware や他の仮想環境用に最適化したエンドポイントエージェントを提供 しているところもあります。このため、VM の保護には多数の選択肢があり、セキュリ ティとパフォーマンスの最適なバランスをとることが、IT 担当者にとっての課題とな ります。 このホワイトペーパーでは、従来のマルウェア対策製品を VM で実行する際の問題点を 検討します。そして、エージェントレス型ソリューションと最適化されたエージェント のメリットと制限について説明し、適切な方法を選択するためのガイダンスを提供しま す。さらに、各方法を使用したソフォス製品についても説明します。仮想環境における従来のマルウェア対策製品の
課題
マルウェア対策の黎明期から今日に至るまで、マルウェア対策のしくみに大きな変化はあり ません。まず、マルウェア対策エージェントを、保護するクライアントマシンやサーバーに インストールします。エージェントがメモリに常駐して脅威をスキャンし、脅威定義 ファイルや脅威検出エンジンが定期的に更新されます。企業環境では、各システムにイ ンストールされているエージェントに、管理コンソールを使って、一括導入・管理・更新・ レポート機能を提供します。 この脅威保護モデルは保護するシステムがいずれも単体のハードウェアであった時代に 登場したものであるため、このようなシステムを仮想 OS に統合すると、従来のマルウェ ア対策製品は、パフォーマンスやスケーラビリティの最適化に影響を与える恐れがありま す。また、仮想マシンは簡単に作成、一時停止、削除、移動できるため、セキュリティ対 策の管理が困難になる可能性もあります。この 2つの問題の詳細を以下で説明します。 パフォーマンスとスケーラビリティ リソースへの負荷と統合比への影響 従来のマルウェア対策製品では、各 VM でエージェントを実行するため、リソースへの 負荷が大きくなるという問題があります。マルウェア対策エージェントのなかには、シ ステム 1台あたり 500MB もの RAM を使用するものもあります。追加の負荷に対応す るために各仮想マシンの RAM が増えると、20台のゲスト VM のホストでは、10GB の RAM が余分に必要になります。したがって、RAM を増設できないホストで従来のマルウェ ア対策ソフトウェアを使用すると、最適な VM 統合比を実現できない場合もあります。 スキャンストーム スキャンストームは、多数の VM でマルウェア対策スキャンを同時に実行してホストの リソースが圧倒されると発生します。複数の入力 / 出力 (I/O) 操作と高負荷の CPU 処 理を必要とする、ほぼ同じ動作が各 VM で実行されるため、データスループットおよびシ ステムの応答時間が著しく低下する可能性があります。一般的には処理速度が速いとされ る SAN (ストレージ エリア ネットワーク) やローカル ストレージ アレイであっても、 読み取りリクエストが同時に発生すると、パフォーマンスが低下する恐れがあります。 スケジュール検索やオンデマンド検索の同時 実行によって「スキャンストーム」が発生 し、リソースの使用増加やシステムパフォー マンスの低下につながる恐れがあります。緊急時の操作に伴って、やむを得ずスキャンストームが発生することも考えられます。 たとえば、マルウェア大規模感染時に、オンデマンド検索を実行して、感染システム上 のマルウェアを検出・削除する場合などです。この場合、検索の早期完了が重視される ため、システムパフォーマンスの低下は問題にはならないかもしれません。 しかし、通常は、仮想マシンの最適なパフォーマンスと高可用性を維持することが非常 に重要です。そして、スキャンストームが発生すれば、サービスレベルの契約条件を満 たすことができなかったり、ユーザーや経営陣の期待に添ったパフォーマンスを提供で きなかったりする恐れもあります。 アップデートストーム スキャンストームと同様、アップデートストームでは、複数の VM で同時に同じ操作が 行われることで、リソースが過剰に使用されます。このような操作には、セキュリティ対 策ソフトのデータ (例: 脅威定義ファイル) の更新や、セキュリティ対策ソフトの更新 (例: 製品の更新やマルウェア検出エンジンの更新) などがあります。各 VM で稼動している エージェントが、それぞれ更新ファイルをダウンロードしてインストールする必要がある ため、一般的には、I/O やネットワークの帯域幅が最も大きな影響を受けます。従来のセ キュリティ対策ソフトでは、アップデートの実行が多くの場合に特定の頻度または時刻に スケジュールされるため、アップデートが同時に発生する可能性が高くなります。 特に VDI は、アップデートストームの影響を受けやすくなっています。マルウェア対策 製品では、システムの起動後にアップデート版の有無を確認する設定になっていること がよくあります。さらに、マスターイメージ (ゴールドイメージ) が数日前、数週間 前、または数ヶ月前に作成された可能性もあり、その場合、エージェントを最新の状態 にするには、大々的な更新が必要になります。大半のユーザーが、毎朝、ほぼ同じ時間 帯に業務を開始する場合、数十台、数百台、または数千台の仮想デスクトップ PC が、 同時にアップデート版の確認、ダウンロード、およびインストールを実行することにな ります。これと同じような状況は、仮想サーバープール全体の起動時にも発生します。 変化するシステム環境での保護の管理 組織のシステム全体にセキュリティ対策ソフトが必ずインストールされ、最新のアップ デート版が適用されていることを保障するのは難しいことですが、仮想環境ではこの問 題がさらに悪化します。既存のシステムやゴールドイメージから複製して、新しい VM を作成するのは非常に簡単です。しかし、複製元のイメージの保護機能が古かったり、 まったく保護がなかったりすると、セキュリティエージェントをインストールまたは更 新するまで、作成した新しい VM が保護されないことになります。同様に、一時停止後 に再開した1台の VM、または特定のリソースプールにある複数の VM には、一時停止 時に最新だった保護が適用されていますが、再開後は更新されるまで、最新の脅威に対 する保護機能がありません。 特に VDI 環境では、ログインするたび、または 1日のはじめに新しいセッション (しばし ば新しいインスタンス) が開始されることが多いため、この問題の影響をさらに受けやすく
さらに、仮想マシンの停止、作成、削除は絶えず実行されるため、保護されているマシ ンや、適用済みセキュリティ対策ソフトのバージョンを把握するのが難しくなります。 このため、IT 担当者が無駄な作業をすることになったり、コンプライアンスチェック が困難になったり、マシンを保護し忘れたりする可能性が高くなります。
問題に対処する 2つの方法
上で説明した問題に対処する基本的な方法には、次の 2種類あります。1つは、エー ジェントレス型マルウェア検索の実行です。ホストに集中スキャナを配置すること で、VM にはセキュリティエージェントが不要になります。2つ目は、従来の管理型マ ルウェア対策エージェントを、仮想環境用に最適化することです。 どちらも、パフォーマンス、スケーラビリティ、および管理に伴う問題に対処します が、主な相違点は検索の実行場所で、各 VM で実行されるか、ホストで一括実行される かという違いがあります。この相違点は、システムの管理方法やパフォーマンスに影響 を与えます。また、この 2つの方法が適用される方法は、ベンダーによっても異なりま す。これらの相違点は、各ベンダーのソリューションのパフォーマンス、管理性、およ び保護レベルに影響を与えることもあります。 エージェントレス型スキャンエージェントレス型スキャンは、VMware の vShield Endpoint テクノロジーによっ て普及しました。これは、最新エディションの vSphere に含まれており、軽量のドラ イバ (「シンエージェント」と呼ばれます) を各 VM にインストールします。ドライバ は vSphere を通じて Security VM (SVM) と通信します。SVM はセキュリティベンダー によって提供されるもので、ホストにインストールします。マルウェア検索はすべて SVM で実行されるので、保護対象の各 VM では、他の作業にリソースを割り当てるこ とが可能になります。 エージェントレス型スキャンには、従来のマルウェア対策ソリューションと比較して、 次のようなメリットがあります。 • 各 VM にセキュリティエージェントをインストールする必要がない。管理作業に当 てる時間を節約でき、保護を適用し忘れたなどということを未然に防ぎます。 vShield Endpoint は、一台の安全 な Security VM を使用して、エー ジェントレス型の自動スキャンを実 行します。
• アップデートは各 VM では不要で、SVM のみで実行される。アップデートストーム や保護が不完全であるなどの問題は発生しません。 • システムリソースの過剰な使用を防止できる。SVM で計画的にスキャンを実行する ことで、一度にスキャンするファイルや VM の数が抑制されます。 • キャッシングによって検索時間が短縮し、リソースの無駄な使用やファイルアクセス の遅延を回避できる。vShield では、VM で頻繁にキャッシングが実行され、ソフォ ス製品では、さらに集中的に SVM 内でファイルをキャッシングします。 もちろん、このようなメリットにも限界があります。たとえば、vShield Endpoint ド ライバは Windows のみに対応しているため、それ以外の OS でエージェントレス型ス キャンは実行できません。また、vShield Endpoint は、VMware 独自のテクノロジー であるため、他のハイパーバイザーには対応していません。 さらに、エージェントレス アーキテクチャに起因する限界もあります。vShield Endpoint は、ファイルのスキャンのみに対応できます。エージェントがなければ、RAM で実行 されるマルウェアを検出する方法はありません。また、HIPS や Web フィルタリング などの高度なセキュリティ機能を活用する方法もありません。 ローカルエージェントがないことは、感染アイテムのクリーンアップにも影響します。 感染が検出された場合、専用のクリーンアップツールを使用して手動でマルウェアを削 除し、感染前のスナップショットに戻すことが必要になるかもしれません。ローカル エージェントがないことは、ユーザー通知機能にも影響します。ユーザーが悪意のある ファイルを開こうとした場合も、ファイルにアクセスできない、という Windows のエ ラーメッセージが表示されるだけです。また、VM ごとにポリシーを設定することはで きず、ホストごとに設定する必要があります。これは、1台のホストで多様な仮想シス テムを稼動している場合や VM を 1台のホストに特定できない環境では問題になるかも しれません。 最後に、ファイルのオンアクセス検索を複数の VM が同時にリクエストする場合など に、セントラルスキャナを使用すると、パフォーマンスの弊害につながる可能性もあり ます。通常の運営環境では、この問題が発生する可能性は、キャッシングによって最小 従来のマルウェア対策ソフトウェア とは異なり、エージェントレス型ス キャンではリソースの使用が最小限 に抑えられるため、効率的な拡張が 可能です。
最適化されたエージェント エージェントレス型スキャンをあらゆる環境で使用するのは不可能または最適でないた め、セキュリティベンダーは、仮想環境向けにマルウェア対策エージェントを最適化す ることにも取り組みました。たとえば、ソフォス製品においては、次のような最適化が 組み込まれています。 • スキャンストームやアップデートストームを防止するため、スキャンやアップデート を段階的に実行。 • VMware の ESXi ハイパーバイザーでのメモリ共有の有効化。複数の VM で同一のエー ジェントが実行されている場合に、ホスト上の RAM の総使用量を最小化できます。 • クローンがデプロイされる際に、重複する項目や整合性のとれない項目を管理コン ソールで作成せずに、エージェントをゴールドイメージに構築。(これによって、管 理サーバーによるそれぞれの新しい VM へのエージェントの自動インストールで発 生するブートストームも削減できます。) • 定義ファイルや更新ファイルのサイズを最小限に抑制。複数の VM をアップデート するために必要な時間とリソースを最小限に抑えます。 このような最適化に加えて、適切なポリシーを設定することもできます。たとえば、VM を物理デバイスとは別の専用のグループに配置して、専用の検索、除外、クリーンアッ プ設定を適用します。この場合、たとえば、感染マルウェアの自動クリーンアップを仮 想デスクトップ PC では無効化するように指定できます。仮想デスクトップ PC は、簡 単に感染マルウェアを破棄し、未感染のイメージと置き換えることができます。 仮想環境向けに最適化したエージェントを各 VM にインストールすることで、前述の問 題の大半を防止しつつ、従来のセキュリティ対策ソフトにある次のようなメリットを提 供できます。 • Web コンテンツ検索、HIPS、アプリケーション コントロールなどのセキュリティ 機能も提供。 • 多様な OS やハイパーバイザーに対応。 • ホストごとでなく VM ごとにポリシーを設定可能。VM が新しいホストに移動された 場合は、ポリシーも移動できます。 もちろん、この方法にも一定の限界があります。多数の VM があるホストでは、メモリ を共有したとしても (エージェントレス型スキャンと比較して) ハードウェアリソース の使用量が増える可能性があります。また、仮想マシンが頻繁に作成・破棄されるダイ ナミックな環境では、アップデートやインストールの遅れが問題視される可能性があり ます。さらに、このような状況では、破棄された VM のエントリを削除する操作も含 め、管理コンソールにあるすべての VM を監視するのは手間のかかる作業です。
エージェントレス型スキャンと最適化された
クライアント: 選択方法
仮想環境はそれぞれ異なります。シンプルかつ迅速な、vShield によるエージェントレ ス型スキャンの使用が最適な環境もあります。その一方で、各 VM にエージェントを インストールし、フレキシブルで追加機能のあるセキュリティを提供することが重要 な環境もあります。また、エージェントレス型スキャンと最適化されたエージェント を、VM に応じて使い分けることが適切な環境もあるでしょう。 各方法のメリットおよび限界の概要は、以下の表のとおりです。使用している環境に最 適な方法を選択するために参照してください。なお、詳細は、ベンダーによって異なる ことにご注意ください。 エージェントレス型スキャンと最適化されたエージェント: メリットと限界 エージェントレス型スキャン 最適化されたエージェント パフォーマンス • VMware の大規模な導入にも対応 • VM あたりの限界パフォーマンスコス ト: 最小限 • パフォーマンス最適化のための設定 が不要 • VM の台数が少ない場合は、エージェント レス型スキャンより、リソースの使用量 が少ない場合もある • VM あたりの限界パフォーマンスコスト: 中程度 • パフォーマンスの最適化には詳細な設 定が必要 互換性 • Windows 環境の VM のみ • vSphere のみ • 対応するエージェントがある場合、任意 の OS 環境の VM • ほとんどのハイパーバイザーと連携 管理 • 初期設定が複雑 • VM ごとでなく、ホストごとに管理 • 製品によっては、個別の管理コンソー ルが必要 (ソフォス製品では不要) • 従来のマルウェア対策インフラをベース に構築 • 大規模環境への導入には十分な注意が 必要 セキュリティ • ファイルレベルのマルウェア検索 • ファイルレベルのマルウェア検索 • マルウェアの自動クリーンアップ / 削除 • HIPS (ホスト侵入防御システム) • Web フィルタリング • アプリケーション コントロール • その他の機能 エンドユーザーの エクスペリエンス • マルウェア対策専用の通知なし。ユー ザーには、「アクセスが拒否されまし た」という OS メッセージのみ表示。 • ユーザー設定可能なオプション、クリー ンアップ、その他のツールなし • ローカルエージェントによる通知 • ユーザーによるオプションの設定やツー ルの使用を IT 部門が設定可能 この表からわかるように、1台のホストあたりの VM が数台程度の小規模な環境では、 各 VM にエージェントをインストールする方が簡単に管理できることがあります。 一方、ダイナミックで大規模な環境では、エージェントレス型スキャンに移行するこソフォスのシンプルなソリューション
ソフォスでは、エージェントレス型スキャンと、仮想環境向けに最適化されたエージェントベー スの保護の両方を提供しています。直感的な Sophos Enterprise Console を使用した 集中管理で、組織内のすべての仮想マシンを簡単に保護できます。VMware、Citrix、 および Microsoft とのパートナーシップにより、ソフォス製品は、最も一般的なハイパー バイザーとシームレスに動作するようテストされています。
仮想サーバー、仮想デスクトップ PC 用のエージェントレス型スキャン
Sophos Antivirus (SAV) for vShield は、仮想サーバーや仮想デスクトップ PC 向
けの高性能のエージェントレス型ソリューションです。vShield Endpoint テクノロ ジーの活用により、SAV for vShield の高度なキャッシング機能は、スキャン時間や リソースの使用を最低限に抑えます。セントラルスキャナは、ソフォスの高度な脅威 検出エンジンと、SophosLabs 提供の脅威解析情報にリアルタイムで接続する Live Protection を組み合わせて使用します。このため、各 VM は、既知のマルウェアと未 知のマルウェアの両方から保護されます。
専用の管理コンソールを必要とするエージェントレス型製品とは異なり、Sophos Antivirus for vShield は、Sophos Enterprise Console で管理できます。保護対象の ホストは、ソフォスのセキュリティエージェントのある管理対象クライアントマシンや サーバーと共に設定できます。
Windows、Linux、Mac、UNIX サーバーの保護
Sophos Server Protection では、エージェントレス型スキャンとエージェントベー
スの保護を必要に応じてフレキシブルに組み合わせ、導入できます。エージェントレス 型 SAV for vShield、または高性能の Sophos Antivirus for Windows / Linux / UNIX / Mac で、重要なデータを脅威から保護できます。そして、すべて単一の管理コンソール Sophos Enterprise Console での集中管理が可能です。
仮想デスクトップ PC 用のエンドポイント保護
Endpoint Protection は、必要なあらゆるセキュリティ機能を仮想デスクトップ PC に
提供します。効率的な単一エージェントに、マルウェア対策、ファイアウォール、HIPS、 データ流出防止 (DLP)、Web 保護機能などが搭載されています。ソフォスの
Virtualization Scan Controller を使用した段階的なスキャン処理により、スキャンス トームを防止できます。また、導入を簡単にするため、セキュリティエージェントを ゴールドイメージに組み込むこともできます。そして、Sophos Enterprise Console を 使用することで、仮想デスクトップ PC、および従来のクライアントマシンやサーバー すべての管理が容易になります。
Sophos Server Protection
無償評価版の登録 (30日間)
www.sophos.com/ja-jp/products/free-trials/
まとめ
仮想化はかなり短期間で、効率性の向上と IT 管理の簡素化を実現する、一般的な IT 技術になりました。VM を脅威から保護しつつ、仮想化のメリットを維持することには 課題を伴いますが、最新のテクノロジーと製品の機能拡張で対処することが可能です。 エージェントレス型スキャンにおいては、新しい効率的な方法でマルウェア対策を提供 する目的で仮想化テクノロジーが使用されています。ソフォスでは、仮想環境および組織全体を対象として、Sophos Antivirus for vShield、 最適化されたエージェント、および管理が簡単な Sophos Enterprise Console を包括 するシンプルなセキュリティソリューションを提供しています。
