仮想マシンをマルウェア から保護する 2 つの方法 Maxim Weinstein CISSP Senior Product Marketing Manager 仮想化システムを導入することで 運用コストの削減 管理の簡素化 仮想環境のサーバーやデスクトップ PC の可用性の向上を期待できます しかし 仮想環境で パフォーマンスや便宜性に影響を与えることなく 仮想マシンをマルウェアから保護することは大きな課題です このホワイトペーパーは セキュリティ担当者や仮想化担当者などの IT 担当者を対象に 仮想環境を保護する最新のソリューション 2 種類 (vshield Endpoint を使用したエージェントレス型スキャン および仮想プラットフォーム用に最適化されたセキュリティエージェントによるスキャン ) について理解し 最適な方法を選択することについて説明します
はじめに 組織で使用されるテクノロジーは ここ何年かで ますます複雑化してきました 現在 IT 部門は モバイルワーカー さまざまなポータブルデバイス インタラクティブな Web サイト 多種のビジネスクリティカルなアプリケーション および従来のネットワークサービスやインフラをサポートする必要があります 多くの組織で IT 支出が伸びているとはいえ 各種サービスの需要に対応できているのはまれです このため 効率よく対応能力を拡張する手段として IT 担当者は仮想化に注目し始めています サーバールームやデータセンターにおいて 仮想化は 簡単な管理 およびハードウェアコストや運営費用の削減などのメリットを提供します 仮想デスクトップインフラ (VDI) を使用すると ますます増加するモバイルワーカーの作業環境にもこのようなメリットを拡張できるだけでなく 従来のエンドポイント環境では難しかった高レベルの管理 監視も実現できます 仮想化のメリットの 1 つとして しばしばセキュリティが挙げられます しかし 現実には 仮想化の導入によってセキュリティが向上することもあれば セキュリティの問題が発生することもあります 仮想プラットフォームを導入すれば サンドボックス データ集中化 強化された構成の簡単な複製など 新しいセキュリティ機能を利用できるようになります 一方 導入やクローンが簡単であるために 仮想マシン (VM) のスプロール現象につながる恐れがあり すべての VM に適切なセキュリティ対策を提供することが難しくなります さらに パフォーマンスや統合比 ( 物理サーバー 1 台にホスティングする VM の数 ) を重視するあまり リソースを過度に節約してセキュリティに影響を与えてしまう場合もあります VMware は サーバー仮想化のマーケットリーダーとして 組織が仮想化システムを導入 管理するための革新的なソリューションを開発しています たとえば VM をマルウェアから保護する最新の方法として VMware の vshield Endpoint テクノロジーに基づいた エージェントレス型マルウェア対策ソリューションがあります vshield Endpoint は VMware の vsphere 製品のほぼすべてのエディションに含まれており マルウェア対策による重要なセキュリティ機能を 高レベルのパフォーマンスと統合率が要求される仮想化システムに提供しています セキュリティベンダーのなかには vshield ベースのマルウェア対策ソリューションだけでなく VMware や他の仮想環境用に最適化したエンドポイントエージェントを提供しているところもあります このため VM の保護には多数の選択肢があり セキュリティとパフォーマンスの最適なバランスをとることが IT 担当者にとっての課題となります このホワイトペーパーでは 従来のマルウェア対策製品を VM で実行する際の問題点を検討します そして エージェントレス型ソリューションと最適化されたエージェントのメリットと制限について説明し 適切な方法を選択するためのガイダンスを提供します さらに 各方法を使用したソフォス製品についても説明します ソフォスホワイトペーパー 2014 年 1 月 2
仮想環境における従来のマルウェア対策製品の課題 マルウェア対策の黎明期から今日に至るまで マルウェア対策のしくみに大きな変化はありません まず マルウェア対策エージェントを 保護するクライアントマシンやサーバーにインストールします エージェントがメモリに常駐して脅威をスキャンし 脅威定義ファイルや脅威検出エンジンが定期的に更新されます 企業環境では 各システムにインストールされているエージェントに 管理コンソールを使って 一括導入 管理 更新 レポート機能を提供します この脅威保護モデルは保護するシステムがいずれも単体のハードウェアであった時代に登場したものであるため このようなシステムを仮想 OS に統合すると 従来のマルウェア対策製品は パフォーマンスやスケーラビリティの最適化に影響を与える恐れがあります また 仮想マシンは簡単に作成 一時停止 削除 移動できるため セキュリティ対策の管理が困難になる可能性もあります この 2 つの問題の詳細を以下で説明します パフォーマンスとスケーラビリティ リソースへの負荷と統合比への影響従来のマルウェア対策製品では 各 VM でエージェントを実行するため リソースへの負荷が大きくなるという問題があります マルウェア対策エージェントのなかには システム 1 台あたり 500MB もの RAM を使用するものもあります 追加の負荷に対応するために各仮想マシンの RAM が増えると 20 台のゲスト VM のホストでは 10GB の RAM が余分に必要になります したがって RAM を増設できないホストで従来のマルウェア対策ソフトウェアを使用すると 最適な VM 統合比を実現できない場合もあります スキャンストームスキャンストームは 多数の VM でマルウェア対策スキャンを同時に実行してホストのリソースが圧倒されると発生します 複数の入力 / 出力 (I/O) 操作と高負荷の CPU 処理を必要とする ほぼ同じ動作が各 VM で実行されるため データスループットおよびシステムの応答時間が著しく低下する可能性があります 一般的には処理速度が速いとされる SAN ( ストレージエリアネットワーク ) やローカルストレージアレイであっても 読み取りリクエストが同時に発生すると パフォーマンスが低下する恐れがあります スケジュール検索やオンデマンド検索の同時実行によって スキャンストーム が発生し リソースの使用増加やシステムパフォーマンスの低下につながる恐れがあります ソフォスホワイトペーパー 2014 年 1 月 3
緊急時の操作に伴って やむを得ずスキャンストームが発生することも考えられます たとえば マルウェア大規模感染時に オンデマンド検索を実行して 感染システム上のマルウェアを検出 削除する場合などです この場合 検索の早期完了が重視されるため システムパフォーマンスの低下は問題にはならないかもしれません しかし 通常は 仮想マシンの最適なパフォーマンスと高可用性を維持することが非常に重要です そして スキャンストームが発生すれば サービスレベルの契約条件を満たすことができなかったり ユーザーや経営陣の期待に添ったパフォーマンスを提供できなかったりする恐れもあります アップデートストームスキャンストームと同様 アップデートストームでは 複数の VM で同時に同じ操作が行われることで リソースが過剰に使用されます このような操作には セキュリティ対策ソフトのデータ ( 例 : 脅威定義ファイル ) の更新や セキュリティ対策ソフトの更新 ( 例 : 製品の更新やマルウェア検出エンジンの更新 ) などがあります 各 VM で稼動しているエージェントが それぞれ更新ファイルをダウンロードしてインストールする必要があるため 一般的には I/O やネットワークの帯域幅が最も大きな影響を受けます 従来のセキュリティ対策ソフトでは アップデートの実行が多くの場合に特定の頻度または時刻にスケジュールされるため アップデートが同時に発生する可能性が高くなります 特に VDI は アップデートストームの影響を受けやすくなっています マルウェア対策製品では システムの起動後にアップデート版の有無を確認する設定になっていることがよくあります さらに マスターイメージ ( ゴールドイメージ ) が数日前 数週間前 または数ヶ月前に作成された可能性もあり その場合 エージェントを最新の状態にするには 大々的な更新が必要になります 大半のユーザーが 毎朝 ほぼ同じ時間帯に業務を開始する場合 数十台 数百台 または数千台の仮想デスクトップ PC が 同時にアップデート版の確認 ダウンロード およびインストールを実行することになります これと同じような状況は 仮想サーバープール全体の起動時にも発生します 変化するシステム環境での保護の管理 組織のシステム全体にセキュリティ対策ソフトが必ずインストールされ 最新のアップデート版が適用されていることを保障するのは難しいことですが 仮想環境ではこの問題がさらに悪化します 既存のシステムやゴールドイメージから複製して 新しい VM を作成するのは非常に簡単です しかし 複製元のイメージの保護機能が古かったり まったく保護がなかったりすると セキュリティエージェントをインストールまたは更新するまで 作成した新しい VM が保護されないことになります 同様に 一時停止後に再開した 1 台の VM または特定のリソースプールにある複数の VM には 一時停止時に最新だった保護が適用されていますが 再開後は更新されるまで 最新の脅威に対する保護機能がありません 特に VDI 環境では ログインするたび または 1 日のはじめに新しいセッション ( しばしば新しいインスタンス ) が開始されることが多いため この問題の影響をさらに受けやすくなります アップデートストームによるパフォーマンスの低下に加えてこの問題が発生することを考えると 仮想デスクトップ PC のユーザーは 毎朝 出社後にメールを開いたり インターネットを閲覧したりするだけで 新たな脅威にさらされる恐れがあります ソフォスホワイトペーパー 2014 年 1 月 4
さらに 仮想マシンの停止 作成 削除は絶えず実行されるため 保護されているマシンや 適用済みセキュリティ対策ソフトのバージョンを把握するのが難しくなります このため IT 担当者が無駄な作業をすることになったり コンプライアンスチェックが困難になったり マシンを保護し忘れたりする可能性が高くなります 問題に対処する 2 つの方法 上で説明した問題に対処する基本的な方法には 次の 2 種類あります 1 つは エージェントレス型マルウェア検索の実行です ホストに集中スキャナを配置することで VM にはセキュリティエージェントが不要になります 2 つ目は 従来の管理型マルウェア対策エージェントを 仮想環境用に最適化することです どちらも パフォーマンス スケーラビリティ および管理に伴う問題に対処しますが 主な相違点は検索の実行場所で 各 VM で実行されるか ホストで一括実行されるかという違いがあります この相違点は システムの管理方法やパフォーマンスに影響を与えます また この 2 つの方法が適用される方法は ベンダーによっても異なります これらの相違点は 各ベンダーのソリューションのパフォーマンス 管理性 および保護レベルに影響を与えることもあります vshield Endpoint は 一台の安全な Security VM を使用して エージェントレス型の自動スキャンを実行します エージェントレス型スキャン エージェントレス型スキャンは VMware の vshield Endpoint テクノロジーによって普及しました これは 最新エディションの vsphere に含まれており 軽量のドライバ ( シンエージェント と呼ばれます ) を各 VM にインストールします ドライバは vsphere を通じて Security VM (SVM) と通信します SVM はセキュリティベンダーによって提供されるもので ホストにインストールします マルウェア検索はすべて SVM で実行されるので 保護対象の各 VM では 他の作業にリソースを割り当てることが可能になります エージェントレス型スキャンには 従来のマルウェア対策ソリューションと比較して 次のようなメリットがあります 各 VM にセキュリティエージェントをインストールする必要がない 管理作業に当てる時間を節約でき 保護を適用し忘れたなどということを未然に防ぎます ホストのリソース使用率が低下する 各 VM にエージェントがある場合と異なり 同じ操作が重複して実行されることがありません ソフォスホワイトペーパー 2014 年 1 月 5
従来のマルウェア対策ソフトウェアとは異なり エージェントレス型スキャンではリソースの使用が最小限に抑えられるため 効率的な拡張が可能です アップデートは各 VM では不要で SVM のみで実行される アップデートストームや保護が不完全であるなどの問題は発生しません システムリソースの過剰な使用を防止できる SVM で計画的にスキャンを実行することで 一度にスキャンするファイルや VM の数が抑制されます キャッシングによって検索時間が短縮し リソースの無駄な使用やファイルアクセスの遅延を回避できる vshield では VM で頻繁にキャッシングが実行され ソフォス製品では さらに集中的に SVM 内でファイルをキャッシングします もちろん このようなメリットにも限界があります たとえば vshield Endpoint ドライバは Windows のみに対応しているため それ以外の OS でエージェントレス型スキャンは実行できません また vshield Endpoint は VMware 独自のテクノロジーであるため 他のハイパーバイザーには対応していません さらに エージェントレスアーキテクチャに起因する限界もあります vshield Endpoint は ファイルのスキャンのみに対応できます エージェントがなければ RAM で実行されるマルウェアを検出する方法はありません また HIPS や Web フィルタリングなどの高度なセキュリティ機能を活用する方法もありません ローカルエージェントがないことは 感染アイテムのクリーンアップにも影響します 感染が検出された場合 専用のクリーンアップツールを使用して手動でマルウェアを削除し 感染前のスナップショットに戻すことが必要になるかもしれません ローカルエージェントがないことは ユーザー通知機能にも影響します ユーザーが悪意のあるファイルを開こうとした場合も ファイルにアクセスできない という Windows のエラーメッセージが表示されるだけです また VM ごとにポリシーを設定することはできず ホストごとに設定する必要があります これは 1 台のホストで多様な仮想システムを稼動している場合や VM を 1 台のホストに特定できない環境では問題になるかもしれません 最後に ファイルのオンアクセス検索を複数の VM が同時にリクエストする場合などに セントラルスキャナを使用すると パフォーマンスの弊害につながる可能性もあります 通常の運営環境では この問題が発生する可能性は キャッシングによって最小限に抑えられますが 一部の環境では問題となることも考えられます ソフォスホワイトペーパー 2014 年 1 月 6
最適化されたエージェント エージェントレス型スキャンをあらゆる環境で使用するのは不可能または最適でないため セキュリティベンダーは 仮想環境向けにマルウェア対策エージェントを最適化することにも取り組みました たとえば ソフォス製品においては 次のような最適化が組み込まれています スキャンストームやアップデートストームを防止するため スキャンやアップデートを段階的に実行 VMware の ESXi ハイパーバイザーでのメモリ共有の有効化 複数の VM で同一のエージェントが実行されている場合に ホスト上の RAM の総使用量を最小化できます クローンがデプロイされる際に 重複する項目や整合性のとれない項目を管理コンソールで作成せずに エージェントをゴールドイメージに構築 ( これによって 管理サーバーによるそれぞれの新しい VM へのエージェントの自動インストールで発生するブートストームも削減できます ) 定義ファイルや更新ファイルのサイズを最小限に抑制 複数の VM をアップデートするために必要な時間とリソースを最小限に抑えます このような最適化に加えて 適切なポリシーを設定することもできます たとえば VM を物理デバイスとは別の専用のグループに配置して 専用の検索 除外 クリーンアップ設定を適用します この場合 たとえば 感染マルウェアの自動クリーンアップを仮想デスクトップ PC では無効化するように指定できます 仮想デスクトップ PC は 簡単に感染マルウェアを破棄し 未感染のイメージと置き換えることができます 仮想環境向けに最適化したエージェントを各 VM にインストールすることで 前述の問題の大半を防止しつつ 従来のセキュリティ対策ソフトにある次のようなメリットを提供できます Web コンテンツ検索 HIPS アプリケーションコントロールなどのセキュリティ機能も提供 多様な OS やハイパーバイザーに対応 ホストごとでなく VM ごとにポリシーを設定可能 VM が新しいホストに移動された場合は ポリシーも移動できます もちろん この方法にも一定の限界があります 多数の VM があるホストでは メモリを共有したとしても ( エージェントレス型スキャンと比較して ) ハードウェアリソースの使用量が増える可能性があります また 仮想マシンが頻繁に作成 破棄されるダイナミックな環境では アップデートやインストールの遅れが問題視される可能性があります さらに このような状況では 破棄された VM のエントリを削除する操作も含め 管理コンソールにあるすべての VM を監視するのは手間のかかる作業です ソフォスホワイトペーパー 2014 年 1 月 7
エージェントレス型スキャンと最適化されたクライアント : 選択方法 仮想環境はそれぞれ異なります シンプルかつ迅速な vshield によるエージェントレス型スキャンの使用が最適な環境もあります その一方で 各 VM にエージェントをインストールし フレキシブルで追加機能のあるセキュリティを提供することが重要な環境もあります また エージェントレス型スキャンと最適化されたエージェントを VM に応じて使い分けることが適切な環境もあるでしょう 各方法のメリットおよび限界の概要は 以下の表のとおりです 使用している環境に最適な方法を選択するために参照してください なお 詳細は ベンダーによって異なることにご注意ください エージェントレス型スキャンと最適化されたエージェント : メリットと限界 パフォーマンス 互換性 管理 セキュリティ エンドユーザーのエクスペリエンス エージェントレス型スキャン VMware の大規模な導入にも対応 VM あたりの限界パフォーマンスコスト : 最小限 パフォーマンス最適化のための設定が不要 Windows 環境の VM のみ vsphere のみ 初期設定が複雑 VM ごとでなく ホストごとに管理 製品によっては 個別の管理コンソールが必要 ( ソフォス製品では不要 ) ファイルレベルのマルウェア検索 マルウェア対策専用の通知なし ユーザーには アクセスが拒否されました という OS メッセージのみ表示 ユーザー設定可能なオプション クリーンアップ その他のツールなし 最適化されたエージェント VM の台数が少ない場合は エージェントレス型スキャンより リソースの使用量が少ない場合もある VM あたりの限界パフォーマンスコスト : 中程度 パフォーマンスの最適化には詳細な設定が必要 対応するエージェントがある場合 任意の OS 環境の VM ほとんどのハイパーバイザーと連携 従来のマルウェア対策インフラをベースに構築 大規模環境への導入には十分な注意が必要 ファイルレベルのマルウェア検索 マルウェアの自動クリーンアップ / 削除 HIPS ( ホスト侵入防御システム ) Web フィルタリング アプリケーションコントロール その他の機能 ローカルエージェントによる通知 ユーザーによるオプションの設定やツールの使用を IT 部門が設定可能 この表からわかるように 1 台のホストあたりの VM が数台程度の小規模な環境では 各 VM にエージェントをインストールする方が簡単に管理できることがあります 一方 ダイナミックで大規模な環境では エージェントレス型スキャンに移行することで ただちにパフォーマンスや管理性が向上する可能性があります 大半の VM にはエージェントレス型スキャンが最適ですが より高レベルの保護が必要なマシンや Windows 以外の OS を稼動しているマシンがある環境では ハイブリッドの方法がふさわしい場合もあります ソフォスホワイトペーパー 2014 年 1 月 8
ソフォスのシンプルなソリューション ソフォスでは エージェントレス型スキャンと 仮想環境向けに最適化されたエージェントベースの保護の両方を提供しています 直感的な Sophos Enterprise Console を使用した集中管理で 組織内のすべての仮想マシンを簡単に保護できます VMware Citrix および Microsoft とのパートナーシップにより ソフォス製品は 最も一般的なハイパーバイザーとシームレスに動作するようテストされています 仮想サーバー 仮想デスクトップ PC 用のエージェントレス型スキャン Sophos Antivirus (SAV) for vshield は 仮想サーバーや仮想デスクトップ PC 向けの高性能のエージェントレス型ソリューションです vshield Endpoint テクノロジーの活用により SAV for vshield の高度なキャッシング機能は スキャン時間やリソースの使用を最低限に抑えます セントラルスキャナは ソフォスの高度な脅威検出エンジンと SophosLabs 提供の脅威解析情報にリアルタイムで接続する Live Protection を組み合わせて使用します このため 各 VM は 既知のマルウェアと未知のマルウェアの両方から保護されます 専用の管理コンソールを必要とするエージェントレス型製品とは異なり Sophos Antivirus for vshield は Sophos Enterprise Console で管理できます 保護対象のホストは ソフォスのセキュリティエージェントのある管理対象クライアントマシンやサーバーと共に設定できます Windows Linux Mac UNIX サーバーの保護 Sophos Server Protection では エージェントレス型スキャンとエージェントベースの保護を必要に応じてフレキシブルに組み合わせ 導入できます エージェントレス型 SAV for vshield または高性能の Sophos Antivirus for Windows / Linux / UNIX / Mac で 重要なデータを脅威から保護できます そして すべて単一の管理コンソール Sophos Enterprise Console での集中管理が可能です 仮想デスクトップ PC 用のエンドポイント保護 Endpoint Protection は 必要なあらゆるセキュリティ機能を仮想デスクトップ PC に提供します 効率的な単一エージェントに マルウェア対策 ファイアウォール HIPS データ流出防止 (DLP) Web 保護機能などが搭載されています ソフォスの Virtualization Scan Controller を使用した段階的なスキャン処理により スキャンストームを防止できます また 導入を簡単にするため セキュリティエージェントをゴールドイメージに組み込むこともできます そして Sophos Enterprise Console を使用することで 仮想デスクトップ PC および従来のクライアントマシンやサーバーすべての管理が容易になります ソフォスホワイトペーパー 2014 年 1 月 9
まとめ 仮想化はかなり短期間で 効率性の向上と IT 管理の簡素化を実現する 一般的な IT 技術になりました VM を脅威から保護しつつ 仮想化のメリットを維持することには課題を伴いますが 最新のテクノロジーと製品の機能拡張で対処することが可能です エージェントレス型スキャンにおいては 新しい効率的な方法でマルウェア対策を提供する目的で仮想化テクノロジーが使用されています ソフォスでは 仮想環境および組織全体を対象として Sophos Antivirus for vshield 最適化されたエージェント および管理が簡単な Sophos Enterprise Console を包括するシンプルなセキュリティソリューションを提供しています Sophos Server Protection 無償評価版の登録 (30 日間 ) www.sophos.com/ja-jp/products/free-trials/ ソフォス株式会社営業部 Tel: 03-3568-7550 Email: sales@sophos.co.jp 英国 オックスフォード 米国 ボストン Copyright 2014.Sophos Ltd. All rights reserved. Registered in England and Wales No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, UK Sophos は Sophos Ltd. の登録商標です その他すべての製品および会社名は それぞれの所有者に帰属する商標または登録商標です 1.14.GH.wpjp.simple