「仮想マシンは安全」が幻想に過ぎないのはなぜか？：VMは安全か？【後編】

VMによるシステム分離は、セキュリティ対策として機能する。だが、その安全性を過信すると思いがけない落とし穴に遭遇する。IT管理者が見過ごしがちな弱点とは。

[John Powers，TechTarget]

　仮想マシン（VM）は、物理マシンから独立した作業領域をエンドユーザーに提供し、システムやデータを保護する仕組みを提供する。これはセキュリティ面でも有用な仕組みだが、万能の対策ではない。VMの分離機能に過度な期待を寄せることで、思いがけないセキュリティホールが生まれることもしばしばだ。VMのセキュリティ機能に関する“誤解”と、効果的なセキュリティ対策のポイントを解説する。

「分離されているからVMは安全」は正しいのか

併せて読みたいお薦め記事

連載：VMは安全か？

• 前編：いまさら聞けない「仮想マシン」の仕組み　なぜ便利なのか？

VM運用のヒント

• 仮想マシン（VM）を遅くする「CPU」の“駄目”な使い方と対処法
• 複数VMで共有する「仮想GPU」とは？　パススルーとの違いは？

　VM同士は論理的に分離されている。そのため、あるVMがマルウェアに感染した場合、問題が発生したVMだけを隔離および停止させたり、他のVMやホストマシンへの影響をある程度抑制できたりする点において、セキュリティ上のメリットがある。ただし物理システムと同様に、VMはさまざまな脅威に直面していることに変わりはない。企業がこれらのメリットを享受できるかどうかは、VMの構成と設定に依存する。VMを利用する企業は、サイバーセキュリティに関して常に注意を払うべきだ。

　マルウェアに感染するリスクはVMにも存在する。エンドユーザーが不正なリンクをクリックしたり、悪意のある実行ファイルをダウンロードしたりしたときにシステムがマルウェアに感染するのは、VMもPCも変わらない。VMの場合、マルウェアに感染したVMを素早く特定できれば、VMを再起動するだけで修復できることがある。これに対してPCの場合は、セキュリティツールによるマルウェアの検出や除去、システムの復元など、状況に応じてIT管理者の作業が必要だ。

　適切に構成されたVMであれば、通常はVMを超えてマルウェアが侵入することは防げる。だが侵入は不可能ではない。こうした侵入は「VMエスケープ」と呼ばれ、ホストマシンやハイパーバイザーを超えてマルウェアが拡散し、重大な問題を引き起こす可能性がある。例えばワーム（単独で動作し、自己複製をして拡散するマルウェア）が共有ネットワークを通じてVMエスケープを実行し、ホストマシンに侵入するといった具合だ。

　エンドユーザーがVMを使用して作業している際に、誤って企業のクラウドストレージやファイル共有システムにマルウェアをアップロードすることもあり得る。この場合、マルウェアが社内システム全体に広がることが懸念される。そうなるとVMを終了するだけではマルウェアを除去することは難しいため、追加のセキュリティ対策による対処を実施しなければならなくなる。

　IT管理者はVMが安全だと思い込まず、適切なセキュリティ対策を講じなければならない。VMに対してもPCと同様のセキュリティ対策を検討するとともに、以下に挙げるVM用のセキュリティ対策を実施する必要がある。

• VMのネットワークアクセスのセキュリティを確保する
• VMとホストマシン間のやりとりを最小限に抑える
• VMと連携するアプリケーションやサービスのセキュリティを確保する

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。