仮想マシン（VM）の安全性を過信しない“9つのセキュリティ対策”：VMとホストマシンの両方を保護する【後編】

VMから抜け出してホストマシンを狙う「VMエスケープ」などの攻撃からVMを守るには、適切なセキュリティ対策が不可欠だ。具体的な9つの防御策と、その実践方法を解説する。

[Helen Searle-Jones，TechTarget]

　仮想マシン（VM）は、物理的に分離された環境のように振る舞うため、安全性が確保されていると考えられがちだ。しかし実際には、攻撃者がハイパーバイザーの脆弱性を悪用してVMから抜け出し、ホストマシンで悪意のあるプログラムを実行する「VMエスケープ」など、ホストシステムや他のVMを危険にさらす恐れがある。VMとホストマシンを守るにはどうすればよいのか。9つの対策を紹介する。

仮想マシン（VM）とホストマシンを効果的に守る9つの対策

併せて読みたいお薦め記事

連載：VMとホストマシンの両方を保護する

• 前編：仮想マシン（VM）の「安全神話」が崩れる“7大リスク要因”

VMのセキュリティ対策

• 「仮想マシンは安全」が幻想に過ぎないのはなぜか？
• 仮想マシン（VM）のセキュリティ対策で見落としがちな5つの落とし穴

　IT部門は、全社的なセキュリティ対策の一環としてVMのセキュリティ強化に取り組む必要がある。技術的な対策だけではなく、ポリシーの策定や従業員教育、継続的な警戒も重要だ。VMとホストマシンのリスクを最小限に抑えるための取り組みを以下に示す。

対策1．セキュリティソフトウェアの活用

　VMとホストマシンの両方に、マルウェア対策や侵入検出・防止などのセキュリティツールを導入する。こうしたツールは不審な振る舞いを検出し、被害を食い止めるのに役立つ。

対策2．定期的な更新

　ハイパーバイザー、VM、ホストマシン、VM管理ツールを最新の状態に保つ。そのためには最新のパッチを適用するとともに、マルウェア定義を最新に保つことが欠かせない。

対策3．ネットワークセグメンテーションの活用

　VMのネットワークをホストマシンのネットワークから分離するには、異なるネットワークを論理的に分離する「ネットワークセグメンテーション」が活用できる。仮想LANとファイアウォールを使用して、VMとホスト間の通信を制御、監視する。管理用の通信を通常の通信と分離させることで、不正アクセスを防ぐ。

対策4．設定の強化

　ハイパーバイザーベンダーが提供するセキュリティ強化ガイドラインに従う。不要な機能を無効化する、必要最低限の権限のみを与えるなどのセキュリティベストプラクティスに従い、ハイパーバイザー、VM、ホストマシンの設定を見直そう。

対策5．共有リソースや共有機能の制限

　VMとホストマシン間でのフォルダ、デバイス、クリップボードなどの共有は、可能な限り控える。必要な場合は、厳格なアクセス制御と監視を組み合わせて使う。

対策6．監視とログの取得

　VMとホストマシンの両方で、継続的な監視とログ取得を実施する。IT管理者はログを分析して、不審な振る舞いを早期に検出できるようにする。VMの安全性評価も定期的に実施しよう。

対策7．バックアップの取得

　全てのVMとホストマシンの重要な設定を定期的にバックアップする。復旧作業も定期的にテストし、バックアップが確実に利用できることを確認する。

対策8．サードパーティー製ツールの管理

　サードパーティー製のツールやプラグインは、安全性を十分に精査してからVMに導入する。

対策9．従業員教育の実施

　フィッシング攻撃やソーシャルエンジニアリング（人の心理的な隙を狙う攻撃手法）などへの対策として、IT管理者を含む従業員に継続的なセキュリティトレーニングを実施する。VMの安全な利用、管理手順を定めたポリシーの策定も効果的だ。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。