シマンテック、VMware対応強化で仮想環境の効率アップ：セキュリティは妥協せず

　シマンテックは11月5日、同社セキュリティ製品のVMware対応強化について説明した。エンドポイントセキュリティ製品の「Symantec Endpoint Protection 12」と、サーバ向けホスト型IDS／IPS（不正侵入検知・防御）製品「Symantec Critical System Protection 5.2」でそれぞれ仮想環境向けの機能を拡張し、「セキュリティを犠牲にせず、仮想環境を構築する際の負荷を減らし、集約率を高める」（同社 プロダクトマーケティング部 リージョナルプロダクトマーケティングマネージャ 広瀬努氏）という。

　Symantec Endpoint Protection 12は、ウイルス対策に加え、ファイアウォールや不正侵入検知などの機能を備えた企業のエンドポイント向けセキュリティ製品だ。これをハイパーバイザ上の仮想マシンに導入することで、物理マシン同様、端末をさまざまな脅威から保護することができる。

　ただし仮想環境の場合、「ウイルス検出のためのスキャンが集中することによって、ハイパーバイザが過負荷となり、ひいてはゲストOSの性能が極端に落ちる『AVストーム』が課題だった」（広瀬氏）。特にVDI環境では、集約率を高める上で無視できない重要なポイントだという。

　そこで12月に予定されている「Release Update 2」では、スキャン済みファイル情報を共有する「Shared Insight Cache」をVMware vShieldに対応させ、vShield Networkを介してスキャン情報を共有できるようにする。VMware ESXi上の複数の仮想マシンの間で、スキャン済みの重複するファイルの情報をホワイトリストとして共有し、スキャン時間の短縮と、システム負荷の軽減を実現する仕組みだ。特に時間を要するdllファイルなどの実行ファイルの情報を共有することで、「防御力を落とさずにディスクI/Oを大きく減らし、AVストームを回避できる」（広瀬氏）。

　一方のSymantec Critical System Protectionは、ホストベースのIDS／IPS製品だ。ビヘイビア分析とホワイトリストによるロックを通じて、重要なサーバをマルウェアの侵入や不正なプロセスの実行から保護する。「あらかじめ安全だと認められているもの以外は実行できないよう固めてしまう」（広瀬氏）製品だ。

　すでにリリース済みのバージョン5.2は、VMware ESXi 5.0に対応。仮想マシン上にインストールしたエージェントから、vCLI経由でVMware ESXiを監視し、ログインの成功／失敗やログ、設定ファイルに対する変更などをリアルタイムにモニタリングする。もし異常を検出した場合にはアラートを発する仕組みだ。さらに、管理コンソールとなる「VMware vCenter」に対しては、ホワイトリストに基づいて動作をロックし、「不正な仮想マシンの立ち上げ」や「エージェントの停止」といった、ポリシー外の動作を防止する。

　一連の動作は、VMwareが影響しているガイド「VMware Hardening Guide」に則って設定をプリセットしたポリシーを用意しているため、ユーザーが個別に設定することなく仮想マシンの状態を監視できることも特徴という。

　広瀬氏は、「旧来のブラックリストに基づいたパターンマッチングによるスキャンでは、新種のマルウェアに対してどうしても後手に回ってしまう。ホワイトリストを活用することで、未知の脅威からシステムを保護できる」と述べ、さらに今回のVMware向け機能拡張によって、セキュリティについて妥協せず、かつパフォーマンスへの影響を抑えながら対策できると説明した。