コンテンツ提供:SB C&S株式会社
デスクトップ仮想化(VDI)には、運用コストの削減、生産性向上、データ紛失対策、BCPなど様々なメリットがあり、多くの企業が業務基盤として採用しています。しかし、近年の高度化するサイバー攻撃の脅威を踏まえると、VDI環境であってもこれまで万全とされてきた構成を見直す必要が生じています。そこで本記事では、SB C&S株式会社の大塚 正之 氏と千代田 寛 氏が、VMware Horizonのセキュリティを見直す上で検討すべきポイントとVMware Horizonに最適なセキュリティソリューションについてご紹介します。
SB C&S株式会社
エバンジェリスト
大塚 正之 氏
SB C&S株式会社
ICT事業本部 技術統括部 第1技術部
(VMware vExpert 2023)
千代田 寛 氏
目次
- 従来のVDI環境におけるセキュリティ構成の問題点
- 新たなる脅威に対抗するためのVDI環境とは
- VMware Horizonに最適なセキュリティ構成とは?
- 効果的なEDR運用と負荷削減にはSOCサービスの活用も
従来のVDI環境におけるセキュリティ構成の問題点
VMware HorizonによるVDI環境では、エージェントレス型のアンチウイルスと、VMware NSXの分散ファイアウォール機能によるマイクロセグメンテーションを組み合わせてセキュリティを実現する構成が一般的でした。そうすることで、アンチウイルス製品が仮想マシンへのウイルス感染を検知、VMware NSXのファイアウォールがその仮想マシンを自動隔離するという仕組みを実現することができます。
しかし昨今では、ランサムウェアに代表される高度なセキュリティ脅威が多数登場しています。従来のセキュリティ構成では、これらの新しい脅威からVDI環境を守ることができるでしょうか。それぞれのポイントについて詳しく検討しましょう。
(1) アンチウイルス製品
従来のアンチウイルス製品は、あくまで既知の脅威から防御を行う製品です。その手段は、既知の脅威パターンにマッチするファイルをスキャンすることで脅威を検出する、いわゆる指名手配型と言われるものです。しかし近年の攻撃では、スキャンすべき対象のファイルが存在しないファイルレス攻撃や、従業員と管理者が日常的に使用する正規ツール、例えば表計算ソフトやシェルなどを悪用した攻撃が増加しています。その結果、指名手配型のアンチウイルスでは検出できず、攻撃者による侵入を許してしまうケースが発生しています。このような攻撃に対抗するには、疑わしいプロセスやその挙動を可視化・分析するためのツールが欠かせません。
(2) マイクロセグメンテーション
マイクロセグメンテーションとは、ネットワーク仮想化を利用し、データセンターやクラウド環境におけるワークロードを分離・保護するソリューションです。高度な攻撃によって社内ネットワークへの侵入に成功した攻撃者は、攻撃の効果を最大化するため、感染したVDI環境から他のVDI環境などへの横方向の感染拡大を目指します。そこで、仮想マシン単位でネットワーク境界を区切るマイクロセグメンテーションを活用することで横方向の感染拡大を抑止することができます。マイクロセグメンテーションは、高度化する脅威からVDI環境を守る上で、引き続き効果的な対策と言えます。
(3) 自動隔離
自動隔離も、継続して効果的な対策ではありますが、インシデント対応の観点では、さらなる対策、もしくは、最新の脅威に対応した対策が必要になります。なぜなら、自動隔離のきっかけとなるのは、多くの場合アンチウイルスによるアラートですが、近年の高度な攻撃に対しては、検出漏れが生じる場合もあります。また近年のインシデント対応では、発生時の封じ込めだけでなく、復旧作業も迅速に行うことが求められています。しかし自動隔離で対応できるのは初期隔離までで、その後のインシデントの根絶や復旧まで対処することはできません。
新たなる脅威に対抗するためのVDI環境とは
このように、従来のVDIセキュリティにおける課題は、高度化する脅威への対策と、復旧まで含めたインシデント対応の迅速化の2点に集約されます。言い換えると、VDI環境を安全に保つためには、既知のウイルスを検出し隔離するだけでは不十分です。未知の攻撃も含めて、インシデントを分析、対処し、安全宣言を出すまでを一連の対応として考えて、ソリューションを選定していくことが重要になります。これらの課題解決に重要な役割を果たすソリューションが、NGAVとEDRです。
NGAVは、機械学習も活用し、マルウェアの振る舞いなどから攻撃を予測し、侵入を防ぐためのソリューションです。従来の指名手配型アンチウイルスの弱点を補い、未知の攻撃から企業内ネットワークを守ります。一方侵入されてしまった後の対策を担うのがEDRです。EDRは、外部からの侵入の検知と隔離、そして調査と復旧などの対応を行うためのツールです。EDRは、センサーエージェントをインストールすることで、OS上のファイルの変更や実行、プロセス間のイベント、ネットワーク通信、レジストリの変更など、あらゆるイベントログを常時収集します。さらに、取得したログを相関分析することで、攻撃者による疑わしい行動を検知し、適切に対応することが可能になります。
前提として重要な考え方は、「攻撃を100%防ぐことはできないので、侵入後の対策が重要である」という事実です。そこで、侵入のハードルを高くするNGAVと、侵入後の処置を行うEDRを組み合わせることで、高度なセキュリティ脅威による被害を最小限に抑えることができます。
またEDRは、インシデントからの迅速な復旧を実現する上でも重要です。迅速な復旧作業を行うには、速やかに問題を調査、特定、根絶する仕組みを、予め対応手順に含める必要があります。しかし、インシデントが生じてからログの収集を始めるのでは、時間が掛かってしまいます。EDRを利用すれば、インシデントが発生した際に、調査対象となるログが手元に揃っている状態で、直ちにインシデント対応を開始することが可能になります。
以上をまとめると、次世代のVDIセキュリティ構成として最適な組み合わせは、NGAV+EDR+マイクロセグメンテーションであると考えられます。
VMware Horizonに最適なセキュリティ構成とは?
この構成をVMware HorizonによるVDI環境に当てはめたものが、VMware Carbon Black CloudによるNGAV・EDRとVMware NSXによるマイクロセグメンテーションを組み合わせた構成です。
特に、VDI環境に最適なEDRソリューションとなるのが、VMware Carbon Black Cloud Workloadです。VMware Carbon Black Cloud Workloadは、データセンターやクラウド上で稼働する仮想マシンを保護するためのソリューションです。仮想マシンにVMware Carbon Black Cloudセンサーと呼ばれるエージェントをインストールすることで、VDI環境のログ収集や脆弱性管理などのセキュリティ対策を、日々慣れ親しんだVMware vSphere Clientの管理画面から実施することができます。具体的には、VDI環境に内在する脆弱性を確認したり、修正に必要な情報を取得できます。その結果、VDI環境の脆弱性を早期発見することができます。またVMware Carbon Black Cloud センサーがインストールされていない仮想マシンを検出し、ワンクリックでセンサーをインストールすることもできます。
ここで、VDI環境のライフサイクルについて振り返りましょう。まず仮想デスクトップのマスターイメージを作成して、仮想デスクトッププールにイメージを展開していきます。当然VDIを使い続けていくうちに、OSのバージョンアップなど様々なタイミングでマスターイメージの更新が発生します。セキュリティインシデントからの迅速な復旧を目指すのであれば、このような更新のタイミングで、VDI環境にEDRなどの重要なセキュリティ機能をあらかじめ組み込んでおくことが望ましいです。また、VDIならではの注意点が2つあります。デスクトップイメージの複製(クローン)した環境が、個別のものとしてEDRにて認識されているか。また、マルチセッションに対してEDRが正しくユーザー認識されているか注意が必要です。その点VMware Carbon Black Cloud Workloadは、VMware vSphere Clientの管理画面から、マスターイメージの更新タイミングや、優先して対策すべき項目を素早く把握でき、インスタントクローンやリンククローンの複製方式やマルチセッション環境(RDSH)に対応しているので、VMware Horizonと極めて相性が良いソリューションだと言えます。
VDI環境を守るには、NGAVとEDRだけで十分と思われるかもしれません。しかし「攻撃を100%防ぐことはできない」という事実がある以上、多層防御を実施することで、侵入者のハードルを上げることは欠かせません。そこで、VMware Carbon Black CloudによるNGAV・EDRに、VMware NSXの分散ファイアウォール機能を組み合わせた構成がおすすめです。特にVDIの環境では、同一セグメント上に多くのVDIが展開されるという構成が多く見られます。通常の業務ではVDI間の通信は発生しづらいですが、攻撃者は逆に通信を試みます。そこでVMware NSXの分散ファイアウォールを導入すれば、仮想NIC単位でトラフィック制御を行うことができ、攻撃者の侵入範囲を最小化することができます。
効果的なEDR運用と負荷削減にはSOCサービスの活用も
このようにVMware HorizonとVMware Carbon Black Cloud Workload、VMware NSXによるセキュリティ構成は、VMware Horizonとの相性がとても良いので、従来のアンチウイルス製品との組み合わせに代わる次世代のVDI構成となりえます。ただし、現時点では上記の構成で完全に自動化することができません。また、脅威の最終的な判断はユーザーが行うというのは変わりません。 そこで、お勧めしたいのがSOCサービスの導入です。SOCサービスは、常時監視と専門家の判断に基づいた初動対応を提供します。また、インシデントが発生した場合には、初動対応の中でネットワークの隔離も行います。専門家の知見を活用できるので、EDRの導入効果を高めることにもつながります。
被害を最小化する上で大切なことは、インシデントから復旧し、安全宣言を出すまでの時間を短縮することです。ネットワーク隔離は、問題の特定と根絶までの時間稼ぎにすぎません、またアンチウイルスはあらゆる攻撃を検知できるわけではなく、潜伏感染しているデバイスもあります。感染を根絶し、迅速な復旧を実現するためには、徹底した調査が可能なEDRの導入が不可欠です。
本記事についてさらに詳しい情報は、次のビデオをご覧ください。
【ビデオ】 セキュリティに死角はないのか?これからのVDIとは
2022.11.16開催「VMware Explore 2022 JAPAN セッション:NS22446」
これからの Horizon とセキュリティをどうアップデート?
5年前の鉄板構成は”これからも万能”といえるのか。(37分)
※SB C&S株式会社が運営するWebサイト「VMware ソリューション」の視聴申し込みページに移動します
効果的なEDR運用と負荷削減を実現するSOCサービスについて詳しくはSB C&S株式会社のWebサイトをご覧ください。
SB C&S Carbon Black セキュリティ監視サービス (SOC)
これからのテレワーク時代に対応しサイバー脅威の侵入を前提としたセキュリティを実現するVMware Carbon Black Cloud を対象として提供する、セキュリティ監視サービスです。監視センターとセキュリティのプロが高度なEDRツールをフル活用して、セキュアでシンプルな EDR 運用をサポートします。