徹底比較! 物理/仮想デスクトップのセキュリティ対策:7項目の比較表もダウンロード可能
仮想デスクトップのセキュリティ対策には、物理環境とは異なる工夫が必要となる。仮想/物理デスクトップにおけるセキュリティ対策の違いを検証し、比較表にまとめた。
テキサスの友人は言った。裏口は番犬で、表玄関はショットガンで守れ、と。仮想デスクトップのセキュリティを考えるとき、その言葉はまさに真理である。
ポイントは、何を守るか、そして誰から守るかによって、採用すべきセキュリティ戦術は異なることだ。泥棒は裏口から侵入する。あなたの10代の娘のボーイフレンドは、玄関から入ってくる。泥棒には中型犬のロットワイラーの吠え声が効果的だ。娘のボーイフレンドには、固い握手とあいさつを交わすとき、ドアの脇に置いたショットガンが見えるようにしておきたい。
同様に、仮想デスクトップと物理デスクトップにも、大きく異なるセキュリティ技術が要求される。仮想デスクトップの場合、多様な資産や利用者を保護しながら、未知のリスクに対応しなければならない。物理的な世界で用いられる標準的なセキュリティプラクティスを適用できることもあるだろうが、仮想デスクトップインフラ(VDI)のセキュリティともなると、なかなかそうはいかない。
以下、物理デスクトップと仮想デスクトップのセキュリティ対策の違いについて説明する。
関連記事
- あの大規模情報漏えいも仮想デスクトップで防げた
- 私物iOS/Android端末の安全性は「VDI」でどこまで高まる?
- 仮想デスクトップへのアプリケーションインストールを阻止する方法
- VDIで実現する情報漏えい防止とPC運用管理コスト(TCO)削減の両立(ホワイトペーパー)
仮想デスクトップのウイルス対策
仮想デスクトップからウイルスを排除することは、住民や住居に影響を及ぼさずに、町全体からドブネズミを追い出すようなものだ。デスクトップの健全性は、リストアを簡単にするゴールデンイメージを利用して維持しよう(ゴールデンイメージについては「Hyper-VでVMを数クリックで複製する方法」も参照)。緊急メンテナンスのためには、仮想マシンをシャットダウンし、イメージからブートするか、隔離したネットワークへ接続させる。LANからウイルスが完全に除去されるまで、厳格なローカルのファイアウォールポリシーを設定しておくことが不可欠だ。
多くの管理者は、システム管理の邪魔になるとして、Windowsファイアウォールを無効にしている(参考:Windows 7の「セキュリティが強化されたWindowsファイアウォール」はどこが違う?)。だが仮想デスクトップのセキュリティには、なかなか便利である。
Windowsファイアウォールを無効にしたゴールデンイメージを作成する一方で、アウトバウンド接続のみを許可する厳格なファイアウォールを有効にしたバージョンのイメージを用意しておこう。ウイルス感染が明らかになったとき、ファイアウォールを有効にしたイメージをベースイメージとして、全てのユーザーに強制適用する。すると、ユーザーは自分たちのリソースを利用できるが、それぞれのシステムは外部から遮断される。
ウイルス検出に関しても、VDIセキュリティ管理者は戦術を変更すべきだ。例えば、2000台(あるいは200台でも)の仮想マシンのドライブを同時にスキャンすることを想像してみればよい。ストレージI/Oの負荷によって、環境全体が悲鳴を上げて停止してしまうだろう(参考:仮想デスクトップ一斉起動時の速度低下を解消するSSD)。
以下に、検討すべき仮想デスクトップセキュリティ戦術を示す。
Copyright © ITmedia, Inc. All Rights Reserved.