仮想マシン(VM)の安全性を過信しない“9つのセキュリティ対策”VMとホストマシンの両方を保護する【後編】

VMから抜け出してホストマシンを狙う「VMエスケープ」などの攻撃からVMを守るには、適切なセキュリティ対策が不可欠だ。具体的な9つの防御策と、その実践方法を解説する。

2024年12月18日 05時00分 公開
[Helen Searle-JonesTechTarget]

関連キーワード

仮想マシン(VM) | セキュリティリスク | セキュリティ対策


 仮想マシン(VM)は、物理的に分離された環境のように振る舞うため、安全性が確保されていると考えられがちだ。しかし実際には、攻撃者がハイパーバイザーの脆弱性を悪用してVMから抜け出し、ホストマシンで悪意のあるプログラムを実行する「VMエスケープ」など、ホストシステムや他のVMを危険にさらす恐れがある。VMとホストマシンを守るにはどうすればよいのか。9つの対策を紹介する。

仮想マシン(VM)とホストマシンを効果的に守る9つの対策

会員登録(無料)が必要です

 IT部門は、全社的なセキュリティ対策の一環としてVMのセキュリティ強化に取り組む必要がある。技術的な対策だけではなく、ポリシーの策定や従業員教育、継続的な警戒も重要だ。VMとホストマシンのリスクを最小限に抑えるための取り組みを以下に示す。

対策1.セキュリティソフトウェアの活用

 VMとホストマシンの両方に、マルウェア対策や侵入検出・防止などのセキュリティツールを導入する。こうしたツールは不審な振る舞いを検出し、被害を食い止めるのに役立つ。

対策2.定期的な更新

 ハイパーバイザー、VM、ホストマシン、VM管理ツールを最新の状態に保つ。そのためには最新のパッチを適用するとともに、マルウェア定義を最新に保つことが欠かせない。

対策3.ネットワークセグメンテーションの活用

 VMのネットワークをホストマシンのネットワークから分離するには、異なるネットワークを論理的に分離する「ネットワークセグメンテーション」が活用できる。仮想LANとファイアウォールを使用して、VMとホスト間の通信を制御、監視する。管理用の通信を通常の通信と分離させることで、不正アクセスを防ぐ。

対策4.設定の強化

 ハイパーバイザーベンダーが提供するセキュリティ強化ガイドラインに従う。不要な機能を無効化する、必要最低限の権限のみを与えるなどのセキュリティベストプラクティスに従い、ハイパーバイザー、VM、ホストマシンの設定を見直そう。

対策5.共有リソースや共有機能の制限

 VMとホストマシン間でのフォルダ、デバイス、クリップボードなどの共有は、可能な限り控える。必要な場合は、厳格なアクセス制御と監視を組み合わせて使う。

対策6.監視とログの取得

 VMとホストマシンの両方で、継続的な監視とログ取得を実施する。IT管理者はログを分析して、不審な振る舞いを早期に検出できるようにする。VMの安全性評価も定期的に実施しよう。

対策7.バックアップの取得

 全てのVMとホストマシンの重要な設定を定期的にバックアップする。復旧作業も定期的にテストし、バックアップが確実に利用できることを確認する。

対策8.サードパーティー製ツールの管理

 サードパーティー製のツールやプラグインは、安全性を十分に精査してからVMに導入する。

対策9.従業員教育の実施

 フィッシング攻撃やソーシャルエンジニアリング(人の心理的な隙を狙う攻撃手法)などへの対策として、IT管理者を含む従業員に継続的なセキュリティトレーニングを実施する。VMの安全な利用、管理手順を定めたポリシーの策定も効果的だ。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/11 UPDATE

  1. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  2. ゼロトラストの進化系? 「ゼロスタンディング特権」(ZSP)とは何か
  3. どれだけできている? まさかの「データ流出」を防ぐ“11個の要点”
  4. ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは?
  5. 信頼していたWebサイトがまさかの感染源? 「水飲み場型攻撃」の手口とは
  6. Appleをだます“不正なiPhone修理”の手口と危険性
  7. 予算や人手不足でも諦めない「AIリスク管理」 2大フレームワークの活用法は?
  8. いまさら聞けない「DES」「AES」の違い より危険な暗号アルゴリズムは?
  9. 法人向けウイルスバスターの後継「Apex One」 EDR機能を搭載
  10. macOSのデフォルト無効の「ファイアウォール」を使うべき理由とは?

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方