仮想デスクトップのセキュリティ対策には、物理環境とは異なる工夫が必要となる。仮想/物理デスクトップにおけるセキュリティ対策の違いを検証し、比較表にまとめた。
テキサスの友人は言った。裏口は番犬で、表玄関はショットガンで守れ、と。仮想デスクトップのセキュリティを考えるとき、その言葉はまさに真理である。
ポイントは、何を守るか、そして誰から守るかによって、採用すべきセキュリティ戦術は異なることだ。泥棒は裏口から侵入する。あなたの10代の娘のボーイフレンドは、玄関から入ってくる。泥棒には中型犬のロットワイラーの吠え声が効果的だ。娘のボーイフレンドには、固い握手とあいさつを交わすとき、ドアの脇に置いたショットガンが見えるようにしておきたい。
同様に、仮想デスクトップと物理デスクトップにも、大きく異なるセキュリティ技術が要求される。仮想デスクトップの場合、多様な資産や利用者を保護しながら、未知のリスクに対応しなければならない。物理的な世界で用いられる標準的なセキュリティプラクティスを適用できることもあるだろうが、仮想デスクトップインフラ(VDI)のセキュリティともなると、なかなかそうはいかない。
以下、物理デスクトップと仮想デスクトップのセキュリティ対策の違いについて説明する。
仮想デスクトップからウイルスを排除することは、住民や住居に影響を及ぼさずに、町全体からドブネズミを追い出すようなものだ。デスクトップの健全性は、リストアを簡単にするゴールデンイメージを利用して維持しよう(ゴールデンイメージについては「Hyper-VでVMを数クリックで複製する方法」も参照)。緊急メンテナンスのためには、仮想マシンをシャットダウンし、イメージからブートするか、隔離したネットワークへ接続させる。LANからウイルスが完全に除去されるまで、厳格なローカルのファイアウォールポリシーを設定しておくことが不可欠だ。
多くの管理者は、システム管理の邪魔になるとして、Windowsファイアウォールを無効にしている(参考:Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う?)。だが仮想デスクトップのセキュリティには、なかなか便利である。
Windowsファイアウォールを無効にしたゴールデンイメージを作成する一方で、アウトバウンド接続のみを許可する厳格なファイアウォールを有効にしたバージョンのイメージを用意しておこう。ウイルス感染が明らかになったとき、ファイアウォールを有効にしたイメージをベースイメージとして、全てのユーザーに強制適用する。すると、ユーザーは自分たちのリソースを利用できるが、それぞれのシステムは外部から遮断される。
ウイルス検出に関しても、VDIセキュリティ管理者は戦術を変更すべきだ。例えば、2000台(あるいは200台でも)の仮想マシンのドライブを同時にスキャンすることを想像してみればよい。ストレージI/Oの負荷によって、環境全体が悲鳴を上げて停止してしまうだろう(参考:仮想デスクトップ一斉起動時の速度低下を解消するSSD)。
以下に、検討すべき仮想デスクトップセキュリティ戦術を示す。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
