仮想デスクトップのセキュリティ対策には、物理環境とは異なる工夫が必要となる。仮想/物理デスクトップにおけるセキュリティ対策の違いを検証し、比較表にまとめた。
テキサスの友人は言った。裏口は番犬で、表玄関はショットガンで守れ、と。仮想デスクトップのセキュリティを考えるとき、その言葉はまさに真理である。
ポイントは、何を守るか、そして誰から守るかによって、採用すべきセキュリティ戦術は異なることだ。泥棒は裏口から侵入する。あなたの10代の娘のボーイフレンドは、玄関から入ってくる。泥棒には中型犬のロットワイラーの吠え声が効果的だ。娘のボーイフレンドには、固い握手とあいさつを交わすとき、ドアの脇に置いたショットガンが見えるようにしておきたい。
同様に、仮想デスクトップと物理デスクトップにも、大きく異なるセキュリティ技術が要求される。仮想デスクトップの場合、多様な資産や利用者を保護しながら、未知のリスクに対応しなければならない。物理的な世界で用いられる標準的なセキュリティプラクティスを適用できることもあるだろうが、仮想デスクトップインフラ(VDI)のセキュリティともなると、なかなかそうはいかない。
以下、物理デスクトップと仮想デスクトップのセキュリティ対策の違いについて説明する。
仮想デスクトップからウイルスを排除することは、住民や住居に影響を及ぼさずに、町全体からドブネズミを追い出すようなものだ。デスクトップの健全性は、リストアを簡単にするゴールデンイメージを利用して維持しよう(ゴールデンイメージについては「Hyper-VでVMを数クリックで複製する方法」も参照)。緊急メンテナンスのためには、仮想マシンをシャットダウンし、イメージからブートするか、隔離したネットワークへ接続させる。LANからウイルスが完全に除去されるまで、厳格なローカルのファイアウォールポリシーを設定しておくことが不可欠だ。
多くの管理者は、システム管理の邪魔になるとして、Windowsファイアウォールを無効にしている(参考:Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う?)。だが仮想デスクトップのセキュリティには、なかなか便利である。
Windowsファイアウォールを無効にしたゴールデンイメージを作成する一方で、アウトバウンド接続のみを許可する厳格なファイアウォールを有効にしたバージョンのイメージを用意しておこう。ウイルス感染が明らかになったとき、ファイアウォールを有効にしたイメージをベースイメージとして、全てのユーザーに強制適用する。すると、ユーザーは自分たちのリソースを利用できるが、それぞれのシステムは外部から遮断される。
ウイルス検出に関しても、VDIセキュリティ管理者は戦術を変更すべきだ。例えば、2000台(あるいは200台でも)の仮想マシンのドライブを同時にスキャンすることを想像してみればよい。ストレージI/Oの負荷によって、環境全体が悲鳴を上げて停止してしまうだろう(参考:仮想デスクトップ一斉起動時の速度低下を解消するSSD)。
以下に、検討すべき仮想デスクトップセキュリティ戦術を示す。
Copyright © ITmedia, Inc. All Rights Reserved.
FacebookやXなど主要SNSで進む「外部リンク制限」の実態 唯一の例外は?
ソーシャルメディアはかつてWebサイトへの重要な流入経路であった。しかし、最近は各プラ...
生成AIとAR/VRで失った個性を取り戻す――2025年のSNS大予測(Instagram編)
万能だが特徴のはっきりしない「何でも屋」と化したInstagram。2025年の進化の方向性を予...
「AIネイティブ世代」の誕生 10代のAI活用度合いは?
博報堂DYホールディングスのHuman-Centered AI Instituteは、AIに対する現状の生活者意識...