Hyper-Vのセキュリティの重要性は言うまでもありません。すべての仮想マシン(VM)とリソースがハイパーバイザーによってホストされるので、何かしら悪意のある者に制御されたら、全VMを乗っ取られる危険性があります。以下に紹介するHyper-Vセキュリティ上の間違い10項目を参考にして、同じミスをしないよう気を付けてください。仮想環境がマルウェアに侵害されることのないよう、悪意ある脅威からの防御を徹底してください。
目次
その1:Hyper-Vホストに余計なソフトウェアをインストールする
Hyper-VホストはHyper-Vの役割だけを担うべきです。しかし、時としてHyper-Vに追加の役割を任せるシステム管理者が少なくありません。それは間違ったアプローチです。Hyper-VホストをドメインコントローラやFTPサーバーとして使用するべきではありません。外部からのサービスが潜在的なリスクを高め、攻撃に晒される領域を作ってしまいます。例えば、FTPサーバーやウェブサーバーは、悪意のあるファイルを重要な場所に転送することを可能にします。
その2:アップデートを実行し忘れる
ハイパーバイザーがきちんとアップデートされ、またアップデートのスケジュールとパッチの適用が正しく設定されていることを確認してください。Microsoftがセキュリティアドバイザリーやパッチをリリースしたら、すばやくインストールすべきです。そのスケジュールやポリシーが正しく設定されていれば、Hyper-Vのセキュリティアップデートがより早く適用されます。
その3:ファイアウォールのポートを必要以上に開く
ポートはハイパーバイザーを稼働させるのに必要なサービスにのみ開くべきです。よくある間違いは、リモートデスクトップサービス(RDP)を使用し、RDPアクセスを開くことです。ファイアウォールの設定を変更すると、ネットワークセキュリティの脆弱性を高め、良くない結果を招く場合があります。設定変更に100%の確信がないときは、必ずネットワーク管理者に連絡し、指示を仰ぎましょう。
その4:ファイアウォールを監視しない
堅牢なファイアウォールを設置し、ハイパーバイザーに出入りするトラフィックをしっかり監視することは、とても重要です。誰がハイパーバイザーにアクセスしているのか、常に見張る必要があります。また、ハイパーバイザーと仮想マシンを通るトラフィックの種類を見極めるのも大切です。外部へのトラフィックに機密顧客データやその他の重要情報が含まれていないか監視することはもちろん、外から入ってくるトラフィックもしっかり監視する必要があります。
その5:物理ファイアウォールと仮想ファイアウォールの両方を使用しない
仮想ファイアウォールはハイパーバイザーを保護すると同時に、ハイパーバイザーレイヤーで仮想マシン自体も保護します。一方、物理ファイアウォールはハードウェアで稼働するアプライアンスを専門に守ります。ネットワーク上のどこかに外部からの侵入を認めれば、物理ファイアウォールが送受信トラフィックを制御して、情報漏洩の危険から防御します。仮想ファイアウォールと物理ファイアウォールを組み合わせることにより、負荷の低いタスクを仮想環境に割り当て、ハードウェアアプライアンスで実行すべきタスクを物理ファイアウォールに集中させることができます。
その6:ロールベースアクセス制御を活用しない
システム管理者には、必要な作業を完遂するのに充分なアクセスを与え、それ以上の権限を与えないことがベストプラクティスとされます。つまり、どのユーザーにも、各自の仕事を行うのに必要とされる分だけの限られたアクセスを与えます。それをロールベースアクセス制御(Role-Based Access Control)と呼びます。ユーザーが仮想マシンを移動したり、サーバーをシャットダウンしたり、間違ってファイルを削除したりすることのないよう、徹底しなければなりません。さらに、誰がハイパーバイザーにアクセスできるのか、ポリシーを明確にしておくことも大切です。ハイパーバイザーへのアクセスは常に最低限に絞られるべきです。
その7:エージェントレス型のアンチウィルスを使用しない
従来のアンチウィルスソフトウェア(AV)は、昔ながらのルーターによる仮想マシンごとの個別対応をするので、仮想システムごとにエージェントをインストールしなければなりません。それにより、ファイルが読み込まれるたびに各エージェントが個々のファイルをモニターするので、ハードウェアリソースがかなり無駄遣いされます。一方、エージェントレスの手法は、エージェントのインストールを必要としません。専用のセキュリティ仮想アプライアンスが継続的にマルウェアをスキャンし、ID識別エンジンを作動し続けます。エージェントレス型AVの大きな利点は、リソース消費の少なさと、基本となるアンチウィルス機能を単一アプライアンスに一括できる点です。
その8:仮想マシンの追加時に保護を徹底しない
仮想マシン(VM)をネットワークに新たに追加するとき、最初にすべきことはその安全性と保護の確立です。新しいVMを稼働させる前に、すべてのセキュリティ要件を満たすことを慎重に確認し、画竜点睛を欠くことのないよう注意してください。言い換えると、VMは既定のポリシー確認なしにネットワークに追加し、アクセス可能にてはいけません。それを怠ると、新しいVMが接続後ただちに悪意ある攻撃の対象になりかねません。また、ウィルス感染したVMはネットワーク内の他のVMを二次感染の潜在的脅威に晒すことになります。5nine Cloud Securityのようなプラットフォームには、VMのセキュリティ確認を格段に行いやすくするデフォルトポリシーがあらかじめ用意されているので、それを利用するのも得策です。
その9:パケットフローをモニターしない
パケットサイズとパケットスピードの平均値を確認し、何かしら異常がないか調査することが重要です。例えば、誰かが仮想マシンの1つを占領したとします。その侵入者が次にするのは、ハイパーバイザー上の隣りの仮想マシンを攻撃するか、あるいはハイパーバイザー自体を攻撃するかもしれません。パケットフローをモニターしておけば、インターネットのエンドポイント別の消費量の違いを見て、悪意ある攻撃を識別することができます。パケットサイズとパケットスピードの変化が、仮想マシンが外部からの攻撃を受けたかどうかを見極める指針となります。
その10:アラートを設定しない
セキュリティアラートの設定も重要です。それにより、潜在的脅威が検知されたときに、ただちに対処することができます。悪意のある攻撃、ウイルス、不正アクセス、重大な変更など、多くの情報がアラートによって通知されます。対象データに問題が見つかったときに、いち早く知らせてくれるのがアラートです。Hyper-Vのセキュリティソリューションにはデフォルトの各種アラートが備えられ、加えて、様々なイベントや状態を検知するカスタムアラートの追加も可能になっています。中でも、5nine Cloud Securityの機能性は特に優れていると言えます。
シンプルで使いやすいHyper-Vセキュリティソリューション
5nine Cloud Securityは、Hyper-VのセキュリティとコンプライアンスのNo.1ソリューションです。エージェントレス型のアンチウィルス、仮想ファイアウォール、侵入検知や異常分析機能など、各種重要機能を備えながら、シンプルで使いやすい点が特長です。ネットワークに追加される個々の仮想マシンを、既定のセキュリティポリシーにもとづいて即時に自動保護するので、Hyper-Vセキュリティ対策のミスがなくなります。5nine Cloud Securityを使用するのに、セキュリティのスペシャリストになる必要はありません。仮想スタックの安全を誰もが効率よく守れるよう、使い方が直感的にわかるような設計になっています。
関連トピックス
- Webセミナー録画とプレゼンテーション『高まるテレワーク需要をセキュアに実現!ホットなVDIソリューションをご紹介』:2020/3/10 開催
- HyTrust KeyControl 5.3 HSMとの連携強化
- Virtual Labの機能説明【VMWare専用 バックアップ & レプリケーションソフト Veeam】
- VMware、パブリッククラウド、コンテナ間でハイブリッド・マルチクラウド・セキュリティとコンプライアンスを提供する唯一のソリューション:HyTrust CloudControl 6.0が正式リリース
- VMware Hypervisorのセキュリティ – USBコントローラに関する重大な脆弱性
- SIEM統合とバックアップによるセキュリティの拡張へ
- 豊富なアクセス制御でBYODのセキュリティリスクを解決 [Accops]
- N2WS Cloud Protection Manager Webセミナのプレゼンテーションと録画 | AWSでもデータ保護・DR対策は必須! 手間なく、らくらく管理・復旧、コンプライアンス準拠
- 令和時代のVDI(仮想デスクトップ)に新しい選択肢を、次世代VDIソリューション「Accops」を徹底紹介!(2019/04/24 Webセミナー録画)
- サイバーセキュリティにはお金がかかる、は本当か?