仮想デスクトップのセキュリティ対策には、物理環境とは異なる工夫が必要となる。仮想/物理デスクトップにおけるセキュリティ対策の違いを検証し、比較表にまとめた。
テキサスの友人は言った。裏口は番犬で、表玄関はショットガンで守れ、と。仮想デスクトップのセキュリティを考えるとき、その言葉はまさに真理である。
ポイントは、何を守るか、そして誰から守るかによって、採用すべきセキュリティ戦術は異なることだ。泥棒は裏口から侵入する。あなたの10代の娘のボーイフレンドは、玄関から入ってくる。泥棒には中型犬のロットワイラーの吠え声が効果的だ。娘のボーイフレンドには、固い握手とあいさつを交わすとき、ドアの脇に置いたショットガンが見えるようにしておきたい。
同様に、仮想デスクトップと物理デスクトップにも、大きく異なるセキュリティ技術が要求される。仮想デスクトップの場合、多様な資産や利用者を保護しながら、未知のリスクに対応しなければならない。物理的な世界で用いられる標準的なセキュリティプラクティスを適用できることもあるだろうが、仮想デスクトップインフラ(VDI)のセキュリティともなると、なかなかそうはいかない。
以下、物理デスクトップと仮想デスクトップのセキュリティ対策の違いについて説明する。
仮想デスクトップからウイルスを排除することは、住民や住居に影響を及ぼさずに、町全体からドブネズミを追い出すようなものだ。デスクトップの健全性は、リストアを簡単にするゴールデンイメージを利用して維持しよう(ゴールデンイメージについては「Hyper-VでVMを数クリックで複製する方法」も参照)。緊急メンテナンスのためには、仮想マシンをシャットダウンし、イメージからブートするか、隔離したネットワークへ接続させる。LANからウイルスが完全に除去されるまで、厳格なローカルのファイアウォールポリシーを設定しておくことが不可欠だ。
多くの管理者は、システム管理の邪魔になるとして、Windowsファイアウォールを無効にしている(参考:Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う?)。だが仮想デスクトップのセキュリティには、なかなか便利である。
Windowsファイアウォールを無効にしたゴールデンイメージを作成する一方で、アウトバウンド接続のみを許可する厳格なファイアウォールを有効にしたバージョンのイメージを用意しておこう。ウイルス感染が明らかになったとき、ファイアウォールを有効にしたイメージをベースイメージとして、全てのユーザーに強制適用する。すると、ユーザーは自分たちのリソースを利用できるが、それぞれのシステムは外部から遮断される。
ウイルス検出に関しても、VDIセキュリティ管理者は戦術を変更すべきだ。例えば、2000台(あるいは200台でも)の仮想マシンのドライブを同時にスキャンすることを想像してみればよい。ストレージI/Oの負荷によって、環境全体が悲鳴を上げて停止してしまうだろう(参考:仮想デスクトップ一斉起動時の速度低下を解消するSSD)。
以下に、検討すべき仮想デスクトップセキュリティ戦術を示す。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
