シマンテック、ホワイトリストを利用した仮想化セキュリティ対策を発表

VMwareとの協業に基づく仮想サーバやデスクトップ向けのセキュリティ対策機能を12月までに提供する。

[國谷武史，ITmedia]

　シマンテックは11月5日、同社のエンドポイントセキュリティ製品におけるVMwareの仮想化環境への対応を発表した。仮想サーバやデスクトップ、ハイパーバイザーのESXi、管理ツールのvSphere向けのセキュリティ機能を12月までに提供する。

　同社はエンドポイントセキュリティ製品のVMware対応を、基幹サーバ向けの「Symantec Critical System Protection（CSP）」、サーバやデスクトップ向けの「Symantec Endpoint Protection（SEP）」で行う。CSPは9月に対応済み、SEPでは12月の「Release Update 2」においてWindows 8やWindows Server 2012、Mac OS X 10.8と併せて対応する予定だ。

　会見したリージョナルプロダクトマーケティングマネージャの広瀬努氏によると、仮想サーバや稼働デスクトップで懸念されるセキュリティ問題には、（1）多数の仮想マシンでウイルススキャン処理が集中することによる「AVストーム」の発生、（2）仮想マシンのイメージデータの不正コピー、（3）ハイパーバイザーの脆弱性を悪用したゲストOS間の通信の盗聴、（4）仮想環境管理ツールの不正操作――などがあるという。

　CSPやSEPは、主に「ホワイトリスト」という技術でこうした問題に対処する。ホワイトリストはセキュリティの問題が無いと確認されたアプリケーションやファイルをリスト化し、このリストにあるアプリケーションやファイルなどの実行だけをシステムで許可するというもの。

　（1）の問題にはSEPで対応する。具体的には、仮想マシンのウイルススキャンを管理するSEP専用の仮想マシンをまず用意する。仮想マシンにアクセスするためのセキュリティ用API「vShield」を介して、SEP専用の仮想マシンから各仮想マシンに対してスキャンを実施し、安全が確認されたファイルをホワイトリストに登録する。次回以降のスキャン処理ではホワイトリストにあるファイルのスキャンがスキップされるため、仮想マシンを含むサーバ全体に負荷をかけることなく、セキュリティレベルを維持できるとしている。

　（2）〜（4）の問題には、ハイパーバイザーのESXi（5.0以降）や管理ツールのvSphereをCSPで「要塞化」することにより、外部からのリスクに対処する。ESXiの保護ではCSPの管理エージェント（仮想マシンで動作）がESXiへのログインの成功や失敗、ログやコンフィギュレーションファイルなどを監視し、異常を検出すれば管理者に警告する。監視基準はVMwareが策定した「VMware Hardening Guide」に基づく。また、vSphereの保護にもホワイトリストを利用。vSphereのコンポーネント群で許可された動作をホワイトリストに登録し、リストに無い動作の実行を阻止する。

SEP（左）とCSPにおける仮想化環境向けセキュリティ技術の概要

　広瀬氏は、こうした仮想化環境向けのセキュリティ対策技術がクラウドコンピューティング環境でも重要になっていくとも説明している。