2012年10月11日 08時00分 UPDATE
特集/連載

7項目の比較表もダウンロード可能徹底比較! 物理/仮想デスクトップのセキュリティ対策

仮想デスクトップのセキュリティ対策には、物理環境とは異なる工夫が必要となる。仮想/物理デスクトップにおけるセキュリティ対策の違いを検証し、比較表にまとめた。

[Eugene Alfaro,TechTarget]

 テキサスの友人は言った。裏口は番犬で、表玄関はショットガンで守れ、と。仮想デスクトップのセキュリティを考えるとき、その言葉はまさに真理である。

 ポイントは、何を守るか、そして誰から守るかによって、採用すべきセキュリティ戦術は異なることだ。泥棒は裏口から侵入する。あなたの10代の娘のボーイフレンドは、玄関から入ってくる。泥棒には中型犬のロットワイラーの吠え声が効果的だ。娘のボーイフレンドには、固い握手とあいさつを交わすとき、ドアの脇に置いたショットガンが見えるようにしておきたい。

 同様に、仮想デスクトップと物理デスクトップにも、大きく異なるセキュリティ技術が要求される。仮想デスクトップの場合、多様な資産や利用者を保護しながら、未知のリスクに対応しなければならない。物理的な世界で用いられる標準的なセキュリティプラクティスを適用できることもあるだろうが、仮想デスクトップインフラ(VDI)のセキュリティともなると、なかなかそうはいかない。

 以下、物理デスクトップと仮想デスクトップのセキュリティ対策の違いについて説明する。

仮想デスクトップのウイルス対策

 仮想デスクトップからウイルスを排除することは、住民や住居に影響を及ぼさずに、町全体からドブネズミを追い出すようなものだ。デスクトップの健全性は、リストアを簡単にするゴールデンイメージを利用して維持しよう(ゴールデンイメージについては「Hyper-VでVMを数クリックで複製する方法」も参照)。緊急メンテナンスのためには、仮想マシンをシャットダウンし、イメージからブートするか、隔離したネットワークへ接続させる。LANからウイルスが完全に除去されるまで、厳格なローカルのファイアウォールポリシーを設定しておくことが不可欠だ。

 多くの管理者は、システム管理の邪魔になるとして、Windowsファイアウォールを無効にしている(参考:Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う?)。だが仮想デスクトップのセキュリティには、なかなか便利である。

 Windowsファイアウォールを無効にしたゴールデンイメージを作成する一方で、アウトバウンド接続のみを許可する厳格なファイアウォールを有効にしたバージョンのイメージを用意しておこう。ウイルス感染が明らかになったとき、ファイアウォールを有効にしたイメージをベースイメージとして、全てのユーザーに強制適用する。すると、ユーザーは自分たちのリソースを利用できるが、それぞれのシステムは外部から遮断される。

 ウイルス検出に関しても、VDIセキュリティ管理者は戦術を変更すべきだ。例えば、2000台(あるいは200台でも)の仮想マシンのドライブを同時にスキャンすることを想像してみればよい。ストレージI/Oの負荷によって、環境全体が悲鳴を上げて停止してしまうだろう(参考:仮想デスクトップ一斉起動時の速度低下を解消するSSD)。

 以下に、検討すべき仮想デスクトップセキュリティ戦術を示す。

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news096.jpg

「KARTE for App」がモバイル計測ツール「Adjust」とデータ連携
「KARTE for App」がモバイル計測ツール「Adjust」とデータ連携を開始した。

news056.jpg

「C CHANNEL」、訪日タイ人をターゲットに想定した動画広告メニューを提供
C Channelは、タイ子会社のC CHANNEL(Thailand)において、訪日タイ人観光客向けに商品...

news020.jpg

カードタイプの電子マネー、地方で強いのは「WAON」――MMDLabo調べ
MMDLaboは、「2018年5月モバイル決済 利用者・未利用者比較調査」を発表しました。それに...