知っておきたいクラウドのリスクとセキュリティ 第5回

VMwareのセキュリティ機能を知ろう！

クラウドを支える「サーバー仮想化」のセキュリティとは？

ハイパーバイザーに対するセキュリティ

　ハイパーバイザーは、仮想マシンや仮想ネットワークを提供するソフトウェアだ。商用製品のものであれば、

1. VMware ESX（ヴイエムウェア）
2. XenServer（シトリックス・システムズ）
3. Hyper-V（マイクロソフト）

などが有名だ。実際にCPUやメモリを仮想化して仮想マシンを作り出すハイパーバイザーそのものは、きわめてコンパクトな作りで、セキュリティリスクはほぼ皆無となっている。しかし、ハイパーバイザーには仮想マシンをコマンドラインやネットワーク経由で制御するためのOSが組み込まれているため、それらに対する不正なアクセスへの対策を講じる必要がある。

　VMware ESXやESXiの場合は、ハイパーバイザーに附属するOS部分として独自にカスタマイズされたLinuxが採用されている。特に、ESXのLinux部分は「サービスコンソール」と呼ばれ、Red Hat Enterprise Linux 5相当のLinuxが動作している。ESXでは非rootアカウントでのsshによる接続が可能であるため、不特定多数が管理ネットワークに接続できてしまうネットワーク構成ではリスクとなる（図1）。

図1　ネットワークの分散を行なった仮想基盤のネットワーク構成例

　また、ESXiでもESXと同様にリモート管理用にsshを有効にできる。そのため、管理ネットワークは可能な限り閉じていることが望ましいのだが、管理ネットワークを完全にクローズされた構成にしてしまうと、外部から仮想マシンのリモートコンソールが操作できなくなってしまう（ESXもESXiとも）。そのため、管理ネットワークにリモートデスクトップなどで接続できる環境を用意する場合もある。

　ハイパーバイザー管理OS（サービスコンソールなど）のウイルス対策については、管理OS自体での動作を謳っているアンチウイルスソフトが皆無に等しいのが現状だ。また、管理OSを保護できてもそれだけでは仮想マシンを保護できないため、管理OSにはアンチウイルスソフトなどをインストールしない形が一般的となっている。

仮想マシンのアンチウイルス

　ハイパーバイザー自体のウイルス対策とは異なり、仮想マシンの中で動作するゲストOSのウイルス対策は必要不可欠だ。仮想マシンであるからといって特別な注意点は存在しないので、市販のウイルス対策ソフトを仮想マシンのゲストOSにインストール可能だ（図2）。

図2　従来型のウイルス対策のアプローチ

　ただし、仮想マシン環境ならではのアプローチも存在する。ヴイエムウェアは、仮想ディスクのスナップショットをバックアップサーバーにマウントさせる「VMware Consolidated Backup（VCB）」という仕組みによって、エージェントレスでのバックアップを可能にした。これに続いてアンチウイルスについても、「VMsafe」と呼ばれる一連のAPI群によって、仮想マシンの外部からディスクのスキャンやCPU・メモリの検疫を実施する仕組みが用意されている（図3）。なお、VCBは終息予定で、現在ではVCBの機能を網羅したAPIセットのVADP（vStorage API for Data Protection）を使用するのが標準となっている。

図3　VMsafeを使った新しいウイルス対策

　VMsafe APIを活用することによって、理論上はゲストOSにアンチウイルスソフトをインストールすることなくウイルス対策が可能となる。もっとも、現時点ではゲストOSにアンチウイルスソフトをインストールする形態のほうが、パフォーマンス面で優れている。そのため、VMsafeによるアンチウイルスの完全なオフロード化（完全エージェントフリー構成）は主流とはなっていない。たとえば、ヴイエムウェアが提供するオフロードフレームワーク「vShield Endpoint」では、ゲストOSに「Thin Agent」のインストールを必要とすることで、パフォーマンスを維持しつつオフロード化のメリットを享受できるように考えられている（図4）。

図4　ゲストOSにエージェントを入れるvShield Endpoint方式のウイルス対策

　VMsafeによるアンチウイルスのオフロード化が効果を発揮すると考えられるのは、仮想デスクトップ分野への応用だ。企業向けアンチウイルスソフトウェアは、所定の時間に一斉にHDDのスキャンを開始する実装が多い。仮想デスクトップ環境においては、この集中がCPU負荷の急激な上昇を招いてしまう。だが、VMsafe APIを使用することでスキャンを夜間に分散させることなどが可能になるため、負荷の急激な上昇を防ぐことが可能だ。

（次ページ、「仮想ネットワークのセキュリティ」に続く）

ASCII倶楽部

アクセスランキング

1. 

   ITトピック

   10年後の波に乗るための、いま知るべき先進テクノロジー10選　ガートナー発表

2. 

   デジタル

   ODBCドライバーとは？ ODBCの仕組みからドライバーの使い方まで解説！

3. 

   ITトピック

   移行期限迫るガバクラ、自治体・支援事業者の現状は？ 300の自治体で利用されるAWSの場合

4. 

   クラウド

   グーグルやマイクロソフトにデータは渡すな！　欧州発のOSSクラウドは選択肢に入れるべき

5. 

   ビジネス・開発

   GitHub Copilotで「Claude」「Gemini」も利用可能に　自然言語のみでアプリ開発できる新ツールも

6. 

   サーバー・ストレージ

   「サーバーはプールに沈めるのが当たり前」時代も近いか　液冷技術がデータセンターで主流に

7. 

   ITトピック

   立ち遅れる日本の生成AI活用　日本MSが“巻き返し”のポイントを指摘

8. 

   ビジネス・開発

   魔法、群知能、デジタル生命　Babel・Zoltraak開発者の頭の中

9. 

   クラウド

   NTTデータの「Oracle Alloy」採用、背景には「ソブリンニーズの変化」

10. 

    Team Leaders

    “情シスだけが怖い”怪談を語るイベント、裏の狙いは経営層への啓蒙だった

集計期間：

2024年10月25日~2024年10月31日