エンドポイントセキュリティとシステムの仮想化 Darren Niller - プロダクト管理ディレクター 2012 年 5 月 Webroot® SecureAnywhere™ Business - Endpoint Protection 目次はじめに .................................................................... 3 従来のセキュリティ対策が、仮想化によるパフォーマンスの向上を妨げる .......... 3 エージェントレス方式は、脅威にさらされやすい ................................ 4 高速、軽量かつ効率的な Webroot SecureAnywhere による対策 .................... 5 Webroot SecureAnywhere のパフォーマンス ................................... 5 Webroot SecureAnywhere 製品による管理 ..................................... 6 まとめ ...................................................................... 7 Webroot について.......................................................... 7 Webroot® SecureAnywhere™ Business - Endpoint Protection はじめにフォームファクターは別として、仮想システムは物理的システムとそれほど違いはありません。いずれのシステムも、同じのオペレーティングシステムとアプリケーションを使用します。またいずれのシステムも、ユーザーに対して RAM やハードドライブといったコンピューターリソースを提供します。つまり、物理的システムの脆弱性を悪用する能力は、仮想化環境でも重大な脅威となるのです。中小企業 (従業員数 1 ～ 1,000 人) の 60%1 以上、そしてその数を超える大企業がシステムの仮想化を行っている現状で、IT 管理者は物理的システムと仮想システムが混在する環境を、複雑性を増すことなく、また生産性を低下させることなく保護するための、最善の方法を考える必要があります。本書では、仮想化環境に対応した異なるエンドポイントセキュリティの方法を検証するとともに、Webroot® SecureAnywhere™ Business – Endpoint Protection セキュリティの持つ最適な動作性、保護能力、管理能力をご紹介します。従来のセキュリティ対策が、仮想化によるパフォーマンスの向上を妨げるハードウェアシステムは最近まで、1 台のサーバーで、1 つのオペレーティングシステム、そして通常 1 つのアプリケーションを実行することを前提に設計されていました。この結果、多くのハードウェアリソース (CPU、RAM、ストレージ、ネットワークインターフェイス) が無駄になっていました。1990 年代に x86 仮想化テクノロジーが紹介されて以降、IT 管理者は「1 台のサーバーに 1 つのアプリケーション」方式をやめ、1 台の物理サーバー (ホスト) に複数の仮想マシンを構築するようになりました。この技術によって、1 台の物理サーバーで最適なパフォーマンス、効率性を確保しつつ、複数のアプリケーションの作業を行えるようになりました。これ以降、IT 企業の多くがシステムの仮想化を実施し、IT に関連するコストの総費用を 50% ～ 70% 削減しました。2 仮想システムの一般的な保護方法として、従来のシグネチャベースのエンドポイントセキュリティ対策がとられていますが、この方法には様々な問題点があります。エンドポイントセキュリティは元来、1 対 1 の関係、つまり 1 台の物理的システム (サーバーまたはデスクトップ) に対して、1 つのエンドポイントクライアントを運用することを前提としてきました。個々のシステムのエンドポイントクライアントがマルウェア検知のためのスキャンを実行し、最低でも毎日シグネチャ定義ファイルを更新する必要がありました。従来のクライアントベースの製品設計が、1 対 1 の構造に大きく依存し、物理的システムのストレージとコンピューターリソースを最大限活用していたことがわかります。しかし、定義ファイルは手に負えないほど膨れ上がり、貴重な保存領域を消費するため、更新作業が負担になってきました。スキャンの実行時間は長くなり、時には数時間に及ぶこともあります。また、スキャンによる CPU の負荷がさらに増し、システムのパフォーマンスや生産性にかなりの悪影響を与えています。 3 Webroot® SecureAnywhere™ Business - Endpoint Protection 仮想化が配備されても従来のエンドポイントセキュリティが採用されているため、セキュリティ製品を個々の仮想マシンにインストールする必要があります。各仮想マシンに 1 つのシグネチャベースのクライアントが求められる状況では、特に複数の仮想マシンでスキャンや更新作業が行われた場合に、パフォーマンスを低下させます。たとえば 50 台の仮想マシンが同じホスト上で実行された場合、50 のエンドポイントクライアントが同時に実行されることになります。このことによって、システムの状態が悪化し、各仮想マシンおよびアプリケーションのパフォーマンスに影響を及ぼすことで、「アンチウイルスストーム」と呼ばれる現象が引き起こされます。さらに、管理者は仮想マシンの配備を加速的に行う傾向にありますが、アンチウイルス製品のインストールサイズが新しい仮想マシンの構築を妨げる可能性があります。各エンドポイントで定義ファイルと製品のインストールに何百メガバイトものメモリを消費するアンチウイルス製品は、1 つの仮想マシン上で少数のエンドポイントを実行するだけでも何百ギガバイトのメモリを使用するようになります。エージェントレス方式は、脅威にさらされやすいシグネチャベースのクライアントによる悪い影響を受けることなく仮想システムを保護する方法の 1 つとして、仮想インフラストラクチャ自体に存在するセキュリティソリューションを使用するという方法があります。仮想インフラストラクチャ (VI) とは、各仮想マシンとホストハードウェアの間のやりとりを制御する管理層を指します。たとえば VMware 社は、仮想環境に特化したセキュリティソリューション、vShield を開発しました。このソリューションはクライアントを必要とせず、各仮想マシン間のファイルシステムおよびネットワークトラフィックを監視することができます。VI に特化したセキュリティ製品を配備することにより、各仮想マシンをエージェントレスな状態で保護することができます。エージェントレスなセキュリティの配備により、明らかにパフォーマンス上の改善が見られるようになりましたが、専用の仮想化セキュリティソリューションに投資する前に IT 管理者が検討すべき課題がいくつかあります。何よりもまず、VI だけで使用されるセキュリティ方法は、システムを高度な脅威にさらしかねません。エージェントレスセキュリティによる運用方法は、メモリに内在、またはディスクにファイルとして存在する脅威について考慮していません。最近流行しつつあるこのタイプの脅威には様々なレベルがあり、VI レベルの監視では検出されないようになっています。たとえば情報を盗み出すトロイの木馬ウイルスの一種、Zeus はブラウザのメモリのみに存在します。このようなウイルスに感染した場合、専用の仮想化セキュリティ製品はいずれも、ファイルを悪意のあるものとして検知できません。システム上には悪意のあるファイルが存在しないからです。この方法は現在、情報を盗み出す有名なトロイの木馬ウイルスの多くで使用され、重大なリスクをもたらしています。さらに、VI ツールは行動監視を行いません。このツールは、シグネチャによってのみ脅威を検知し、システム上で包括的なウイルス対策を行うことができません。たとえば、新しく開発された悪意のあるキーロガーがシステム上で実行されても、シグネチャによってブロック 4 Webroot® SecureAnywhere™ Business - Endpoint Protection されていない場合、VI ツールを使用したエージェントレスセキュリティ製品では脅威を確認できません。次に、仮想インフラストラクチャツールを利用した専用のセキュリティ対策は、クラウドまたは物理的システムには適していません。物理的システムは単一のオペレーティングシステムを持つため、エージェントレスアプローチによるセキュリティ対策の意味がないこと、また複数のテナントをもつ公共のクラウド環境では、管理者が VI ツールへのアクセスを許可されないことが理由としてあげられます。物理サーバーおよびクラウドベースのサーバーでは、個々のシステムを保護することが最善のセキュリティ対策です。物理、仮想、クラウドシステムにまたがる異なるサーバー/デスクトップのフォームファクターを持つ環境を守るために、偏ったセキュリティソリューションを使用することは、環境全体を保護するための時間と費用を増加させ、不要な管理コストを発生させることにつながります。仮想インフラストラクチャにおいてセキュリティを実施することによる効果は認められるものの、ほとんどのセキュリティ会社が仮想環境向けにエージェントレスソリューションを開発した本当の理由は、アンチウイルス (AV) ストームが発生し、彼らの標準的なエンドポイントソリューションを運用するためのメモリが不足していたことにあります。つまりエージェントレスソリューションでは、仮想マシンは依然として高度な攻撃に対しては脆弱であり、また仮想環境に特化した従来型の偏ったソリューションを追加することによって不要な管理負担が増えることになります。高速、軽量かつ効率的な Webroot SecureAnywhere による対策ほとんどの IT 管理者は、高い効果、パフォーマンスとコスト削減を実現すべく仮想システムを配備、あるいは配備を検討していることでしょう。従来のシグネチャベースのエンドポイントセキュリティを使ってパフォーマンスを低下させたり、エージェントレスな方法で会社の仮想環境を脆弱な状態においたりすることは、好ましくありません。 Webroot SecureAnywhere Business – Endpoint Protection (WSAB-EP) は、革新的な方法で仮想マシンを保護し、仮想環境で最も効率的なセキュリティと今までにない優れたパフォーマンスを実現します。 Webroot SecureAnywhere のパフォーマンスセキュリティを完全にするためには、パフォーマンスを低下させずに個々の仮想マシンを保護する必要があります。WSAB-EP は、6 秒未満でインストール可能な、非常に軽量なクライアント (700 KB 未満) で仮想マシンを保護します。3 このことによって、管理者は新しい仮想マシンを迅速に配備、より「早い時間で保護」することができ、脅威への全体的な露出時間を減らすことができます。仮想環境を構築している多くの会社は、「仮想飽和」状態に陥っています。複数の仮想マシンが同時にアプリケーションを実行し、ネットワークのリソースが不足すると、仮想トランスレーション層に負担がかかり、通信障害をもたらします。WSAB によるスキャン実行時のメモリの使用量は約 12 MB のみで、スキャンは 1 分未満で終了します。そのため、IT 管理 5 Webroot® SecureAnywhere™ Business - Endpoint Protection 者はバックエンドおよびシステム利用におけるアンチウイルス製品の影響を心配せずにすみます。さらに WSAB-EP は、リソースを大量に消費するアプリケーションを検出すると、製品のメモリの使用量を自動的に調整します。WSAB-EP では、単一の物理サーバー上の何千という仮想端末で、サービスの停止やアンチウイルスストームを発生させることなく同時スキャンを実行することができます。この作業は、オペレーティングシステムの下でハードディスクおよびレジストリ解析によるスキャンを実行することで可能になります。パフォーマンスに影響を与えず、個々の仮想マシンにセキュリティ製品をインストールする WSAB-EP のアプローチは、インストールサイズが大きく、コンピューターリソースを消費する他のセキュリティベンダーが真似ることのできない技術です。3 • • • Trend Micro 製品より 92% 少ないメモリの消費量 3 Symantec 製品の 1/99 のインストール速度 3 McAfee 製品の X 倍、Symantec 製品の最大 30 倍のスキャン実行速度 3 Webroot SecureAnywhere 製品による管理 WSAB-EP ではクラウドを使用して管理するため、ローカルのセキュリティハードウェアインフラストラクチャを維持する必要がなくなります。IT 管理者は、1 つの多機能な Web コンソールとユニバーサルクライアントを使用して、物理的なデスクトップ端末とサーバー、仮想マシン、およびクラウドベースシステムを含む環境全体を管理し、把握することができます。クライアント製品は自動登録機能を持ち、手動で更新、修正する必要がないため、更新作業を予約したり、監視したりする必要がありません。クラウドベースシステムを持つ IT 環境では、サイズの大きい、シグネチャベースのクライアントによる追加の CPU またはネットワーク負担に悩まされることはありません。Webroot 製品はクラウド環境においても性能を発揮し、他社製品とは比較にならないサポート体験を提供します。Webroot のサポートエンジニアは、クライアントレベルの問題を迅速に見極め、ボタンクリック 1 つで必要なログをすべて収集し、問題の分析と解決に役立てることができます。この新しいアプローチでは、お客様の仮想環境がエンドポイントセキュリティソフトウェアに拘束されることなく、最高のパフォーマンスを実現することをお約束します。 WSAB の管理方式は、個々に特化したセキュリティソリューションを配備することなく、最高の仮想化セキュリティ環境を実現します。 6 Webroot® SecureAnywhere™ Business - Endpoint Protection まとめ仮想環境およびその他の設備 (物理サーバー、デスクトップ、クラウドシステム) を管理する IT 管理者は、システム全体にわたって絶対的なセキュリティを維持しながら、仮想化の恩恵を最大限に享受できるソリューションを必要としています。Webroot SecureAnywhere Business – Endpoint Protection は今までにない方法で、物理的システム、仮想化システム、そしてクラウドベースのシステムに対応する、最強のセキュリティと優れたパフォーマンスを実現します。正式な VMware プラットフォーム対応製品として認定を受けています : http://vmware-alliances.force.com/supportedapps/Application?id=087500000006CExAAM VM プラットフォームに対する Webroot の取り組みに関する宣誓 : https://na3.salesforce.com/sfc/p/500000007rinpHbljnDYqse8gA8ovRaKgz6j0EM= 対応する仮想サーバー/デスクトッププラットフォーム : VMware: Citrix: • vSphere 4 • XenDesktop 5 • ESX/ESXi3.0、3.5、4.0、4.1 • XenServer 5.0、5.5、5.6 • Workstation 6.5、7.0、8.0 Server 1.0, 2.0t Microsoft: • Hyper-V Server 2008、2008 R2.6 参考文献 : 1 Spiceworks、State of SMB IT、1H 2012▲ 2 http://www.vmware.com/virtualization/virtual-machine.html 3 http://www.webroot.com/shared/pdf/Webroot_SecureAnywhere_vs_endpoint_security_competitors_6Feb2012.pdf 4 http://www.av-test.org/en/tests/test-reports/test-reports/?tx_avtestreports_pi1%5Breport_no%5D=120525 Webroot についてウェブルート株式会社本社所在地 Webroot は、インターネットセキュリティに関する問題の解〒 107-0062 東京都港区南青山決に取り組んでいます。1997 年設立の株式非公開企業である 3-13-18 313 南青山 8F 当社は、コロラド州に本社を置き、北米、欧州、およびアジア太平洋地域で事業を展開しています。詳細については www.webroot.com をご覧ください。 ©2012 Webroot Inc. All rights reserved.Webroot、SecureAnywhere、および Webroot SecureAnywhere は米国および他国における商標/登録商標です。その他の商標は、それぞれの所有者がその権利を保有しています。 7