エフセキュアがセキュリティトピックスを解説！

仮想OSのウイルス対策を考える

2011年07月11日 09時00分更新

文● 富安洋介／エフセキュア

VMware、Hyper-V、XEN Desktopなど、ここ数年で仮想OSを作成・運用するさまざまなプラットフォームが現われました。無償で使えるものや、OSに標準で付属されているものも多いため、読者の皆様の中にも、触れたことがあるという方も多いのではないかと思います。今回は、さまざまな仮想OSの環境と、それぞれに応じたウイルス対策の現状と課題を考えたいと思います。

家庭でも使われるホスト型の仮想OS

　仮想OSというと、ハイエンドなサーバーマシンで、いくつもの仮想サーバーを動かすイメージをもつことが多いかもしれませんが、実際にはもっとずっと身近に存在しています。実際に使う機会が多いのは、Windows 7の「Windows XPモード」ではないでしょうか。

　Windows XPモードは、Windows 7のUltimate/Enterprise/Professionalに付属する機能です。XPモードという名称からは、Windows 7がXPとして動作するような印象を受けますが、実際は異なります。Windows 7上で「Windows Virtual PC」という仮想化アプリケーションを実行し、その中でWindows XPを起動します。Windows 7上では動作しないソフトウェアを仮想OSのWindows XPで利用可能にすることで、過去のソフトウェアの互換性を保ち、Windows 7移行の障害を取り除くものです。

　業務用のソフトウェアがおもな対象になるとは思いますが、筆者自身としては、古いゲームなどを遊ぶ時にも役に立っているので、家庭でも使われるシーンがけっこうあるのではないかと思います。

画面1　Windows XPモード

　XPモードは、VMware PlayerやVMware Workstationなどと同様の「ホスト型」と呼ばれる仮想方式を採用しており、Windows 7とは別にアンチウイルスソフトが必要になります。多くの法人向けアンチウイルスソフトは、XPモードでの動作をサポートしています。一部の製品では、ホストOS（この場合はWindows 7）のライセンスで、XPモードの保護も可能なケースもあるようです。このように、法人向けアンチウイルスソフトを使っている企業であれば、XPモードへの導入に大きな問題はないと思います。

　一方、コンシューマ向けのアンチウイルスソフトでは、XPモードをサポートしていなかったり、サポートしていても別途ライセンスが必要になるなど、問題があります。エフセキュアのコンシューマ向け製品では、XPモードをサポートしているものの、ライセンスは追加で必要となってしまいます。

　複数台にインストール可能なアンチウイルスソフトのライセンスが余っているなど、仮想OSで利用できるアンチウイルスソフトがあればXPモードでも利用すべきです。また、用意がない場合は、マイクロソフトが提供するアンチウイルスソフト「Security Essentials」を利用するのもよいでしょう。Security EssentialsはXPモードをサポートしていますし、何より無償で使うことが可能です。

ハイパーバイザー型仮想OSのウイルス保護

　XPモードで利用されるホスト型とは異なり、サーバーでの仮想OSは「ハイパーバイザー型」と呼ばれる方式が利用されることが一般的です。ハイパーバイザー型の場合、ウイルス対策には2通りのアプローチがあり、それぞれメリットとデメリットがあります。

図1　ハイパーバイザー型とホスト型の実装方式。ハイパーバイザー型は、仮想OSと物理サーバーの間がハイパーバイザーのみのため、パフォーマンスのオーバーヘッドが少ない

　1つ目は、普通のOSと同じように個々の仮想OSにアンチウイルスソフトを導入することです。サーバーを仮想化する理由の1つに、既存の複数の低スペックな物理サーバーを、ハイスペックなサーバーで統合するという用途があります。その環境移行の際に、管理や検証の手間が省けるのが、このアプローチのメリットです。また、既存のライセンスを流用できるのも大きなメリットです。

　デメリットとしては、リソースの競合などの問題があります。日々のパターンファイル更新によるネットワーク負荷や、複数の仮想OSで同時に手動フルスキャンが行なわれメモリやCPUの消費が大量に消費されるといった事態が起こりえるのです。すべての仮想OSを1人の管理者で管理できる規模なら、運用である程度回避できるでしょう。しかし、仮想OSの数が多くなれば、調整にも手間がかかります。さらに、ホスティングやIaaSのように、他社に貸し出す場合はハイパーバイザー側でリソース使用に制限をかけるなどの対策が必要となります。

　2つ目は、ハイパーバイザー側から仮想OSにスキャンをかける方式です。実装している製品としては、VMwareの「VMSafe」が有名です。仮想OSへのAPIを利用して、ハイパーバイザー側から仮想OSの中のファイルの検査を行ないます。メリットは、リソースの競合を気にしなくてよいことと、休止中の仮想OS内のファイルの検査も行なえることになるかと思います。最大のデメリットはリアルタイムの検査に対応していないことです。

図2　ハイパーバイザーからのウイルス検査。APIを通じて、各仮想OS内のファイルの検査を行なう

仮想デスクトップでの課題

　XEN Desktopに代表される仮想デスクトップでは、ホスト型やハイパーバイザー型の仮想OSのように、そのままアンチウイルスソフトを入れるのには問題があります。仮想デスクトップでは、より多くの仮想OSを動作させるため、プロビジョニングという技術を利用しています。OSのシステム部分やプログラムインストール部分のイメージを共有化し、すべての仮想OSは同じイメージからOSを起動する方法です。共有部分は読み込み専用となり、ユーザーは、個別のユーザー領域に自分のデータを保存します。

　アンチウイルス製品はプログラムインストール部分に保存されるため、読み込み専用として起動します。しかし、多くのアンチウイルス製品では新しいウイルス／マルウェアを検出するために、パターンファイルを日々更新する必要があります。そのため、仮想デスクトップの環境に通常のアンチウイルスをインストールすると、パターンファイルが更新できず新しいウイルスが検出できないというような事態になると考えられます。

　毎日新しいパターンファイルを取得して共有イメージを更新するという運用をすれば、この問題をクリアーできますが、現実的には難しいでしょう。残念ながら、エフセキュアはこの点への解決策を現時点でもっておらず、目下研究を進めているところです。

　仮想OSのウイルス対策は、まだまだ改善の余地が存在しています。現状では、仮想OS自体でのウイルス検査のみではなく、Webやメールなどのゲートウェイ側でのアンチウイルスなどと組み合わせ、補完を行なう必要があると考えます。