シマンテックは今夏に投入する予定の「Symantec Endpoint Protection 12(以下、SEP12)」の勉強会の3回目を開催した。今回は仮想化環境においての有効なSEP12の機能が大きなテーマとなった。
仮想化環境に最適化されたSEP12
SEP12では「Insight」という新技術により、マルウェアの爆発的な増加に対応するほか、パフォーマンスの向上や仮想化環境における最適化が行なわれている。今回は仮想化環境における処理負荷の軽減が大きなテーマとなっており、いくつかの新しい仕組みが紹介された。
新機能の「共有インサイトキャッシュ」は、仮想化環境においてスキャンの重複を防ぎ、処理の負荷を軽減するものだ。通常、複数の仮想化環境で同じタイミングでスキャンがかかると、パフォーマンスが劣化してしまう。これに対し、共有インサイトキャッシュではスキャンの結果をSIC(Shared Insight Cache Server)という専用サーバーに蓄積しておく。そして、他の仮想化環境でスキャンを実行している場合には、いったんSICサーバーに問い合わせ、スキャンが終了している場合はファイルのスキャンを省略する。「スキャンするファイルを減らし、時間を短縮できる。20分かかっていたのが、12分にまで短縮される」(システムエンジニアリング本部 藤田平氏)という。
次に紹介された「仮想イメージ例外」は、仮想デスクトップ(VDI)の環境でスキャン時間を短縮するもの。「仮想イメージ例外ツール」でスキャン対象から外すファイルを記載したホワイトリストに作成し、これを含めたVDIイメージに展開する。これにより、仮想デスクトップの環境のおいて、信頼のあるファイルのスキャンが除外されるという。
この仮想イメージ例外では、ホワイトリストの適用された最新イメージを随時作成する必要がある。そこで同社は「Symantec WorkFlow」というツールを用意しており、作業者がイメージ作成ツールを起動してから、一斉に展開するまでの申請や処理を自動化することができる。説明会の後半では実際のデモも行なわれた。
さらに「オフラインイメージ検索」は、停止状態の仮想マシンに対してスキャンを行なう。通常、停止状態にある仮想マシンでは最新の定義ファイルを用いたスキャンが行なわれていないため、不正プログラムが残ったままで起動されてしまう可能性がある。これに対してオフラインイメージ検索では、オフラインの仮想マシンにおいて最新の定義ファイルでスキャンを行なう。
加えて、前バージョンのSEP11で追加されているスキャンのランダム化オプションについても言及された。これは仮想化環境のスキャンタイミングをランダム化し、スキャンが集中し、パフォーマンスが劣化するのを防ぐという。仮想マシンの数にあわせ、スキャンを実行する間隔をユーザーが任意に指定できる。