- ライター:川原 尚人
- ネットワンシステムズに入社以来、インフラSEとしてコラボレーション製品、仮想デスクトップ製品の設計構築に従事。最近では、エンドポイント領域とハイブリッドクラウド領域のセキュリティのあるべき姿を追い求める日々に奮闘している。
保有資格:
CISSP #653099
Palo Alto Networks CYBERFORCE Hero #447
目次
前回、仮想基盤に最適なエンドポイント対策というタイトルでブログを書きました。エンドポイントセキュリティ製品である、VMware Carbon Black Cloud WorkloadTM(以降、VMware Carbon Black Cloud)の特長、優位性をご理解いただけたかと思います。今回は、VMware Carbon Black CloudとVDI(仮想デスクトップ)を合わせた内容を発信したいと思います。
VDIと聞くと少し古いイメージを思い浮かべる方もいるかと思いますが、そのようなことはありません。COVID-19のパンデミックにより、国内でもセキュアなリモートアクセスの需要が増加し、VDI(オンプレミス、クラウド)やVPN、SASEなどの仕組みを検討・導入する企業が増加しました。新規にVDIを導入する企業は勿論ですが、既にVDIをご利用の企業では、改めて仮想基盤全体の再考や刷新、昨今の高度なサイバー攻撃からVDIを保護するために、強固なエンドポイント対策製品の検討が進められています。
図1.セキュアなリモートアクセス方式の例
まずはVMware Carbon Black Cloud とVDIとの対応状況を見ていきたいと思います。VDIを提供する製品は幾つかありますが、本ブログではVMware社のHorizonを意識して書きます。最初に押さえたいのが、仮想基盤側のシステム要件です。VMware Carbon Black Cloud はエンドポイントセキュリティ製品ですのでVDI側のOSを意識すれば良いのでは?と疑問を持たれるかと思われますが、VMware vCenter Server® と連携するため仮想基盤側に対するシステム要件があります。企業によっては古い仮想基盤を利用されているケースがあります。要件を満たしていない場合は、導入のタイミングで仮想基盤のバージョンアップをご検討ください。
OSの対応状況の確認も必要です。VMware Carbon Black Cloud は、最新WindowsやLinuxのOSサポートに関する追従性は良いのですが、それでも一部のOSバージョンでは利用できない機能などはあります。必ずOS側のサポート状況を確認してください。
VDIとの連携時の機能についても考慮点があります。過去、VDIと一緒にVMware Carbon Black Cloud を提案・説明する中で最も多く聞かれる内容としては、エージェント型とエージェントレス型の違いです。エージェント型はOSにエージェントを導入するタイプです。一般的なエンドポイントセキュリティ製品はエージェント型が多いです。エージェントレス型は、何かしらの仕組みを用いてOSにエージェントを導入しないタイプです。トレンドマイクロ社やカスペルスキー社が提供する製品が市場で有名です。
VDIでは、仮想基盤にかかる性能影響はセンシティブであり、ユーザの使用感やコストに大きく影響します。そのため、エージェントレス型の製品を好み導入する企業が多かったのは事実です。しかし、サーバやストレージといったハードウェア自体の性能が向上したことにより、一昔前よりも性能に関するサイジングに余裕ができたことで、エージェント型を1つの選択肢として検討する企業が増加しています。冒頭で説明しましたが、サイバー攻撃がますます高度化しているため、セキュリティレベルの高い製品にコストをかける傾向にあります。VMware Carbon Black Cloud はエージェント型の製品ですが、エンドポイントに負荷をかけないアーキテクチャで作られているため、VDIに優しいと言えます。弊社では実検証で得られた知見を有していますので、ご安心ください。検証で見えた、VMware Carbon Black Cloud Workloadのここがスゴイ!
簡易的ですが、エージェント型とエージェントレス型の仕組みを図2.に表しています。
図2.エージェント型とエージェントレス型の仕組み
エージェント型はOSに導入するタイプです。エージェントが有する全てのセキュリティ機能(サイバーハイジーン、EDR、NGAV)を利用できることが最も良い点と言えます。高度なセキュリティ対策を実現したいという視点だとエージェント型の方に優位性があります。とくに、EDRにより詳細なテレメトリー情報を取得できるのはエージェント型にしかできない特徴です。仮想基盤への負荷影響を意識した場合、エージェントレス型に優位性があります。しかし、一般的なエージェントレス型はハイパーバイザーごとに仮想アプライアンスを実装してセキュリティ機能を提供しています。大規模の仮想基盤になると仮想アプライアンスの数が肥大化し、多くのリソースを消費することになります。繰り返しとなりますが、VMware Carbon Black Cloud はエージェント型にもかかわらずエンドポイントへの負荷が低いのが特徴です。エージェントで消費するリソースの知見があれば、しっかりとリソース設計に落とし込めるため、エージェントレスと遜色ないリソース設計で製品の導入ができます。弊社の実案件では、エージェントレス型からVMware Carbon Black Cloud に切り替えた際、仮想基盤全体のリソースを比較したところ、VMware Carbon Black Cloud で導入したほうがリソースを少なくできる結果がでました。仮想基盤のシステム要件により異なる場合がありますが、VMware Carbon Black Cloud で消費するリソースが少ないが故に移行できた良いリファレンス案件です。弊社ではこのような知見を豊富に有しています。エージェント型とエージェントレス型の違いを表1で整理しています。概ね一般的な内容ですが、インターネット接続の部分は注意が必要です。VMware Carbon Black Cloud はクラウド製品のため、エージェントを導入する端末はインターネット接続が必要です。
| 項目 |
エージェント型 (例:VMware Carbon Black Cloud) |
エージェントレス型 |
| マルウェア対策 | 〇 | 〇 |
| EDR機能 | 〇 | × |
| サイバーハイジーン | 〇 | × |
| ファイルレスマルウェア対策 | 〇 | × |
| エージェントの導入 | 必要 | 不要 |
| インターネット接続 | 必要 | 不要 |
| ライセンスモデル | CPU単位または端末単位 | CPU単位 |
表1.エージェント型とエージェントレス型の違い
高度なセキュリティ対策を実現するにあたり、SOCの存在も意識する必要があります。エージェントレス型の製品の場合、基本的にマルウェア対策機能しか無いため、マルウェアを検出した後は、アラートを確認し、ネットワーク隔離やVDIマシン自体を削除などの簡易的な対応策に留まっていたはずです。しかし、昨今企業が求められるセキュリティ要件では、マルウェアの侵入経路の把握、企業全体の感染状況の把握が含まれます。VDIでもこのようなセキュリティ要件が求められますので、併せてSOC導入も検討したほうが良いでしょう。
最後にライセンスコストについても触れたいと思います。VMware Carbon Black Cloud は、端末単位とCPU単位の2つのライセンス体系が提供されており、柔軟に選択できます。エージェントレス型の製品の多くはCPU単位でのライセンスを提供しているため、VMware Carbon Black Cloud を選択しても遜色ないコストで導入ができます。1台の物理サーバにVDIマシンを搭載すればするほどライセンスコストのメリットが出てきますが、その分仮想基盤のサイジングが複雑になり易く、1台の物理サーバの障害時にVDIが利用できなくなる影響も考慮しなくていけません。このあたりは弊社の豊富な導入実績で有するナレッジが活用できます。
VDIにVMware Carbon Black Cloud を導入する価値をご理解いただけたかと思いますが、物理マシン側にもVMware Carbon Black Cloud を導入することで、更に価値が出てきます。1つの管理画面でVDIと物理マシンを管理できるため、管理者の管理負荷の軽減を実現できます。
今回、VDIを題材にVMware Carbon Black Cloud をご紹介いたしました。Cyber HygieneやNGAV、EDRとしてのセキュリティ機能も豊富に備わっており、かつグローバルで実績が多数あるため安心して導入できます。弊社では、大規模環境の仮想基盤、VDIの導入実績で得られた知見をフルに活用し、お客様の要件に合う検証を実施しています。本ブログを一読し、VMware Carbon Black Cloud にご興味をお持ちいただけましたら、弊社営業担当までご連絡ください。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
