ページの先頭です

ページ内を移動するためのリンク
本文へ (c)

ここから本文です。

仮想基盤に最適なエンドポイント対策

ライター:川原 尚人
ネットワンシステムズに入社以来、インフラSEとしてコラボレーション製品、仮想デスクトップ製品の設計構築に従事。最近では、エンドポイント領域とハイブリッドクラウド領域のセキュリティのあるべき姿を追い求める日々に奮闘している。

保有資格:
CISSP #653099
Palo Alto Networks CYBERFORCE Hero #447

目次

はじめに

昔からセキュリティ対策は日進月歩だと言われており、新たな攻撃手法と攻撃に対する対策の戦いはいたちごっこです。毎日のように不正アクセスやフィッシングにより個人情報が洩れる事故が後を絶ちません。情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威2021」には、ランサムウェアや標的型攻撃により機密情報の漏洩がランクインし、感染の被害額が増加している状況もあり、エンドポイントのセキュリティ対策を再考する働きが活発になっています。

「エンドポイント」と「セキュリティ対策」のキーワードでインターネット検索をすると、NGAV(Next Generation Anti-Virus)EDREndpoint Detection & Response)というキーワードがでてくるようになりました。日本国内でもNGAV EDRが一般的な言葉になりつつあると言えますが、最近はエンドポイントの脆弱性も正確に把握し、脅威からの攻撃を未然に防ぐ重要性も増してきています。

エンドポイントセキュリティの製品を提供する各ベンダーにより表現は異なりますが、Cyber Hygiene(衛生管理)の実現とも言われています。古くから存在する重要な要素ですが、最近になり改めて注目を浴びています。
エンドポイントのセキュリティ対策には、脅威を未然に防ぐ事前対策と脅威が侵入したことを想定した事後対策の2つの考え方が重要であり、実現するためには「Cyber Hygiene」、「NGAV」、「EDR」の実装が必要です。覚えておくとよいでしょう。

図1.エンドポイントのセキュリティ対策で重要な要素

エンドポイントの定義

エンドポイントと聞くと、誰もが物理マシン(FAT端末)を想像すると思いますが、仮想基盤上の仮想マシンもエンドポイントと言われます。最も良い例としては、仮想デスクトップ(VDI)が挙げられます。ワークスタイル変革を実現する1つの方法として多くの日本国内の企業が導入した仕組みです。仮想デスクトップのデファクトスタンダードと言えばVMware Horizon®であり、手前味噌になりますが、当社でも名立たる企業に大規模な仮想デスクトップを導入した実績があります。
では、なぜ仮想デスクトップの仕組みで展開した仮想マシンにも高度なエンドポイントセキュリティ対策が必要かと言いますと、仮想マシン内に企業のデータが存在するためです。

データの重要性

重要なことは、機密データが外部に漏洩し機密情報が盗まれないことです。仮想マシンだとしても、OSの中にデータが存在する事実は変わりません。物理マシンに導入したセキュリティレベルをそのまま仮想マシンにも適用することが求められます。物理マシンと仮想マシンのセキュリティレベルを分けて考えるべきではありません。運用性を考えれば、物理マシンと仮想マシンの双方に導入可能な製品を選択されるのが良いでしょう。

次項では、VMware Carbon Black®のVMware Carbon Black Cloud Workload製品を例にして最適な部分を紹介します。VMware Carbon Black Cloud Workloadの製品概要については、当社のエンジニアがブログ(検証で見えた、VMware Carbon Black Cloud Workloadのここがスゴイ!)を書いています。一読してもらえると仕組みや機能の理解が進むと思います。

図2.VMware Carbon Black製品概要

仮想基盤の機能要件

仮想マシンの複製対応

仮想マシンの特性は柔軟性と言えます。すぐに作成できる、すぐに削除できる、すぐに複製できる、すぐにリソースを変更できる点です。仮想デスクトップはこれらの特性を利用し実現する最たる仕組みです。特性を理解した上で、エンドポイントのセキュリティ製品の選定が必要となります。とくに仮想マシンの複製は同一の仮想マシンとして認識してしまう恐れがあり、製品側で仮想マシンの複製時に仮想マシンのIDが被らない(ユニークなIDが生成される)仕組みを実装している必要があります。VMware Carbon Black Cloud WorkloadHorizonのインスタントクローンやリンククローンの複製方式に対応しているため、安全に複製ができます。

図3.インスタントクローン展開

仮想マシンのマルチセッション対応

リモートデスクトップサービス技術も仮想化でよく利用される機能です。例えば、ブラウジングのみの業務であれば、ユーザごとに専有の仮想マシンではなくトータルコストを意識して、1台の仮想マシンで複数のユーザを収容するRDSH (ターミナルサービス)がよく利用されます。マルチユーザモードに対応していない製品が多かったりしますが、VMware Carbon Black Cloud Workloadはマルチセッションに対応しています。他社の製品を見ると、対応はしているものの機能制限が多く、事実上利用できない製品もあります。

仮想基盤の性能要件

VMware Carbon Black Cloud Workloadは、仮想マシンにエージェントソフトウェアを導入する製品です。エンドポイントセキュリティ製品のエージェントソフトウェアと聞くとパフォーマンスを気にされる方が多くいると思います。当社エンジニアのブログ(VMware Carbon Black Cloud Workloadのリソース面 ~端末負荷を検証!)を一読してもらえると理解が進むかと思いますが、VMware Carbon Black Cloud Workloadセンサーの仮想マシンにかかるリソース負荷は低い結果となっています。この結果は非常に重要なことです。仮想基盤は複数の仮想マシンでリソースを共有し合う特性があり、リソース要件はセンシティブに考えるべきです。この結果から仮想基盤への影響を最小限に抑えながら導入できます。

仮想基盤の保守要件

セキュリティ業界ではベストオブブリードの考え方があります。システム全体のアーキテクチャをデザインし、適材適所に良い製品を導入する考え方です。システムに他ベンダー製品が組み合わさって導入されることから、障害時に製品の切り分け時間を要することがあります。仮想化基盤には VMware vSphere®、仮想デスクトップにはHorizonを利用している場合、仮想マシンにVMware Carbon Black製品を導入することで、障害時の迅速な切り分けや同一保守窓口に問い合わせができるため、ユーザや導入企業の切り分けに要する時間も大幅に削減することができます。

図4.製品保守の統合

セキュリティ運用の要件

物理マシンと仮想マシンは同一のセキュリティレベルが必要だとお伝えしました。即ち仮想マシンにエンドポイントセキュリティ製品を導入するのであれば、高度な脅威解析ができるセキュリティ運用(Security Operation CenterSOC)も検討すべきでしょう。マルウェアなどにより仮想マシンから機密情報が漏洩した場合、感染経路や感染範囲の特定など仮想マシンでも実施しなければ、組織内のマルウェア感染状況が把握できず、経営層への被害報告が遅れ、結果的に社外・顧客への説明責任を果たせない可能性が考えられます。仮想基盤は仮想マシンだけではなく、仮想ネットワーク、仮想ストレージなどリソースが集約されていて複雑になっていることが多いため、インフラを意識したセキュリティインシデントの対応力が問われます。

最適化された製品コスト

一般的なエンドポイントセキュリティ製品ですと、物理マシンや仮想マシン単位でライセンスを購入することが多いと思います。シンプルで分かりやすいのですが、仮想化を意識したライセンス体系とは言えません。VMware Carbon Black Cloud WorkloadCPU課金ライセンス体系を提供しているため、1台の物理サーバに複数の仮想マシンが搭載する環境ですと、マシン単位のライセンスよりもコストメリットが出やすくなります。また、IaaS基盤でVMware Carbon Black Cloud Workloadを利用されケースがあると思います。Core単位のライセンス体系を提供しているため、要件次第ではCore単位のライセンスを購入することでコストメリットを出せます。ライセンス数を選定には、仮想基盤の設計に大きく依存しますので、仮想基盤の導入実績、豊富な経験値が重要となります。

まとめ

今回、仮想化に適したエンドポイントのセキュリティを題材にVMware Carbon Blackを紹介しました。Cyber HygieneNGAVEDRとしての脅威に対するセキュリティ機能も豊富に備わっており、かつグローバルで実績が多数あるため安心して導入できます。弊社では、大規模環境の仮想基盤、VDIの導入実績で得られた知見をフルに活用し、お客様の要件に合う検証を実施しています。本ブログを一読し、VMware Carbon Blackにご興味をお持ちいただけましたら、弊社営業担当までご連絡ください。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

RECOMMEND