このページの本文へ

デスクトップ仮想化のすべて 第6回

検索時の負荷集中は仮想化の大敵!

デスクトップ仮想化の課題の1つはウイルス対策

2010年10月05日 06時00分更新

文● 瀬戸弘和/トレンドマイクロ株式会社 マーケティング本部
エンタープライズマーケティング部 部長代行

  • この記事をはてなブックマークに追加
  • 本文印刷


仮想化ソフトウェアやシンクライアントの市場が拡大する中で、デスクトップ仮想化(VDI)が注目を集めている。しかし、デスクトップ仮想化には、メリットだけでなく課題もいくつか存在する。ここでは特にウイルス対策の面から、課題と具体的な対策方法を紹介する。

デスクトップ仮想化の落とし穴

 多くのメリットがあるデスクトップ仮想化だが、課題も存在する。導入前の課題としては、「初期費用が高い(ランニングコストを含めると安くなることは多い)」「導入が複雑(サーバー、ストレージ、仮想化ソフトウェアなどさまざまな製品が必要)」「オフライン環境では使用できない」などが挙げられれる。しかし、課題はそれだけでなく、運用時も課題が存在する。特に大きいのが、サーバーへの負荷集中だ。

 デスクトップ仮想化では、1台の物理サーバーで仮想化されたクライアントOSを大量の実行する。そのために、マシン負荷のコントロールが非常に難しくなる。

 わかりやすい例が、「朝9時問題」だ。これは、始業時間である朝9時に仮想マシンを一斉に立ち上げると、物理サーバーに高い負荷がかかってしまう問題だ。通常のPCでも起動には大きな負荷がかかるが、デスクトップ仮想化ではその負荷が1台のサーバーに集中するため、負荷の度合いが高いのだ。

図1 仮想マシンの負荷が増加するケース

 同様の問題は、セキュリティに関しても生じる。つまり、バックアップソフトやウイルス対策ソフトを使用する場合だ。多くの企業では、ウイルス対策ソフトのスケジュール検索を、正午から午後1時など毎日決まった時間に行なっている。通常のPCを使用していても、スケジュール検索の場合にはマシンが重くなることを実感することがあるだろう。デスクトップ仮想化の場合、1台の物理サーバー上に存在する仮想マシン40~50台が一斉にウイルス検索を行なうため、処理に対するレスポンスは大きく低下する。

負荷集中を避ける手段とは?

 シンクライアントやデスクトップ仮想化環境を利用している企業の多くは、こうした負荷集中によるレスポンス低下を防ぐため、スケジュール検索やパターンファイルの更新を定期的に行なわず、古いパターンファイルで運用するなどの工夫でしのいでいるのが現状だ。

 しかし、これらの対策は当然に危険であり、望ましいことではない。そこでトレンドマイクロでは、このような仮想マシンの負荷増加に対して2つのアプローチを行なっている。

 1つ目は、スケジュール検索の負荷が重複しないようにコントロールする機能だ。つまり、各仮想マシンのスケジュール検索の負荷が集中しないように、ウイルス検索を行なうという手法だ。

 前述のように、従来のセキュリティ製品では負荷の集中を回避するためにオフライン検索やリアルタイム検索に限定して運用するケースはあった。トレンドマイクロの提供する企業向けウイルス対策製品(ウイルスバスターコーポレートエディション10.5)では、仮想マシンにインストールされているモジュールによって、各仮想マシンの負荷状況を自動的に管理できる。このため、事前にスケジュールを立てなくても、「1台の仮想マシンに対するウイルス検索が終わってから、次の仮想マシンのウイルス検索を行なう」といったように、ウイルス検索における負荷分散を効率的に行なえる。パターンファイル更新時にも、負荷が集中しないようにコントロールが可能だ。

図2 ウイルス検索時間の自動調整

 トレンドマイクロが実践している2つ目のアプローチは、各仮想マシンの共通部分に着目したウイルス検索だ。通常、従業員は自分の部署に適したアプリケーションを使用している。たとえば、経理であれば会計ソフト、営業であればプレゼンテーションソフト、IT管理者であればログ解析ソフトなどが挙げられれる。

 しかし、「Windows XPを使用している」、「Wordを使用している」など多くの共通項目が存在する。特にOSは各仮想マシンが多くの同じテンプレートを共有しているといえる。そのため、例え50台の仮想マシンがある環境でもウイルス検索自体は1つの共有テンプレートのみに行なえば済んでしまう。 これはOSに限った話ではなく、アプリケーションにおいても同様に共有テンプレートのウイルス検索を実施することが可能だ。

 これらの機能は、VMware View 4、Citrix XenDesktop の環境でサポートされる。

図3 共有テンプレートのウイルス検索

 この2つの機能によって、ウイルス検索の時間が約70%削減※1されたという数値もある。2つの機能の実現により、1台のサーバーで多数のクライアントOSを実行しながら、物理環境と同じレベルのウイルス対策が可能になるのだ。

 デスクトップ仮想化のような新しい技術は日々市場に導入されている。しかし、それに伴う課題が発生するのも事実といえる。そのため、IT管理者は新しい市場環境にはそれに見合ったセキュリティ対策も併せて検討する必要があるのだ。

※1
 「ウイルスバスターコーポレートエディション10」と「ウイルスバスターコーポレートエディション10.5」の比較データ。各物理サーバーには20台の仮想マシンが格納されており、この20台すべてのウイルス検索が終了した時間を比較しており、ネットワークやシステム環境により数値は異なる。

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード