エンドポイントセキュリティとシステムの仮想化

エンドポイント セキュリティとシス
テムの仮想化
Darren Niller - プロダクト管理ディレクター
2012 年 5 月
Webroot® SecureAnywhere™ Business - Endpoint Protection
目次
はじめに .................................................................... 3
従来のセキュリティ対策が、仮想化によるパフォーマンスの向上を妨げる .......... 3
エージェントレス方式は、脅威にさらされやすい ................................ 4
高速、軽量かつ効率的な Webroot SecureAnywhere による対策 .................... 5
Webroot SecureAnywhere のパフォーマンス ................................... 5
Webroot SecureAnywhere 製品による管理 ..................................... 6
まとめ ...................................................................... 7
Webroot について.......................................................... 7
Webroot® SecureAnywhere™ Business - Endpoint Protection
はじめに
フォーム ファクターは別として、仮想システムは物理的システムとそれほど違いはありませ
ん。いずれのシステムも、同じのオペレーティング システムとアプリケーションを使用しま
す。またいずれのシステムも、ユーザーに対して RAM やハード ドライブといったコンピュ
ーター リソースを提供します。つまり、物理的システムの脆弱性を悪用する能力は、仮想化
環境でも重大な脅威となるのです。
中小企業 (従業員数 1 ~ 1,000 人) の 60%1 以上、そしてその数を超える大企業がシステ
ムの仮想化を行っている現状で、IT 管理者は物理的システムと仮想システムが混在する環境
を、複雑性を増すことなく、また生産性を低下させることなく保護するための、最善の方法
を考える必要があります。
本書では、仮想化環境に対応した異なるエンドポイント セキュリティの方法を検証するとと
もに、Webroot® SecureAnywhere™ Business – Endpoint Protection セキュリティの持つ最
適な動作性、保護能力、管理能力をご紹介します。
従来のセキュリティ対策が、仮想化によるパフォーマンスの向上を妨げる
ハードウェア システムは最近まで、1 台のサーバーで、1 つの オペレーティング システム、
そして通常 1 つのアプリケーションを実行することを前提に設計されていました。この結果、
多くのハードウェア リソース (CPU、RAM、ストレージ、ネットワーク インターフェイス)
が無駄になっていました。1990 年代に x86 仮想化テクノロジーが紹介されて以降、IT 管理
者は「1 台のサーバーに 1 つのアプリケーション」方式をやめ、1 台の物理サーバー (ホス
ト) に複数の仮想マシンを構築するようになりました。この技術によって、1 台の物理サー
バーで最適なパフォーマンス、効率性を確保しつつ、複数のアプリケーションの作業を行え
るようになりました。これ以降、IT 企業の多くがシステムの仮想化を実施し、IT に関連す
るコストの総費用を 50% ~ 70% 削減しました。2
仮想システムの一般的な保護方法として、従来のシグネチャベースのエンドポイント セキュ
リティ対策がとられていますが、この方法には様々な問題点があります。エンドポイント セ
キュリティは元来、1 対 1 の関係、つまり 1 台の物理的システム (サーバーまたはデスク
トップ) に対して、1 つのエンドポイント クライアントを運用することを前提としてきまし
た。個々のシステムのエンドポイント クライアントがマルウェア検知のためのスキャンを実
行し、最低でも毎日シグネチャ定義ファイルを更新する必要がありました。従来のクライア
ント ベースの製品設計が、1 対 1 の構造に大きく依存し、物理的システムのストレージと
コンピューター リソースを最大限活用していたことがわかります。しかし、定義ファイルは
手に負えないほど膨れ上がり、貴重な保存領域を消費するため、更新作業が負担になってき
ました。スキャンの実行時間は長くなり、時には数時間に及ぶこともあります。また、スキ
ャンによる CPU の負荷がさらに増し、システムのパフォーマンスや生産性にかなりの悪影響
を与えています。
3
Webroot® SecureAnywhere™ Business - Endpoint Protection
仮想化が配備されても従来のエンドポイント セキュリティが採用されているため、セキュリ
ティ製品を個々の仮想マシンにインストールする必要があります。各仮想マシンに 1 つのシ
グネチャベースのクライアントが求められる状況では、特に複数の仮想マシンでスキャンや
更新作業が行われた場合に、パフォーマンスを低下させます。たとえば 50 台の仮想マシン
が同じホスト上で実行された場合、50 のエンドポイント クライアントが同時に実行される
ことになります。このことによって、システムの状態が悪化し、各仮想マシンおよびアプリ
ケーションのパフォーマンスに影響を及ぼすことで、「アンチウイルス ストーム」と呼ばれ
る現象が引き起こされます。さらに、管理者は仮想マシンの配備を加速的に行う傾向にあり
ますが、アンチウイルス製品のインストール サイズが新しい仮想マシンの構築を妨げる可能
性があります。各エンドポイントで定義ファイルと製品のインストールに何百メガバイトも
のメモリを消費するアンチウイルス製品は、1 つの仮想マシン上で少数のエンドポイントを
実行するだけでも何百ギガバイトのメモリを使用するようになります。
エージェントレス方式は、脅威にさらされやすい
シグネチャ ベースのクライアントによる悪い影響を受けることなく仮想システムを保護する
方法の 1 つとして、仮想インフラストラクチャ自体に存在するセキュリティ ソリューショ
ンを使用するという方法があります。
仮想インフラストラクチャ (VI) とは、各仮想マシンと ホスト ハードウェアの間のやりと
りを制御する管理層を指します。たとえば VMware 社は、仮想環境に特化したセキュリティ
ソリューション、vShield を開発しました。このソリューションはクライアントを必要とせ
ず、各仮想マシン間のファイル システムおよびネットワーク トラフィックを監視すること
ができます。VI に特化したセキュリティ製品を配備することにより、各仮想マシンをエージ
ェントレスな状態で保護することができます。
エージェントレスなセキュリティの配備により、明らかにパフォーマンス上の改善が見られ
るようになりましたが、専用の仮想化セキュリティ ソリューションに投資する前に IT 管理
者が検討すべき課題がいくつかあります。
何よりもまず、VI だけで使用されるセキュリティ方法は、システムを高度な脅威にさらしか
ねません。エージェントレス セキュリティによる運用方法は、メモリに内在、またはディス
クにファイルとして存在する脅威について考慮していません。最近流行しつつあるこのタイ
プの脅威には様々なレベルがあり、VI レベルの監視では検出されないようになっています。
たとえば情報を盗み出すトロイの木馬ウイルスの一種、Zeus はブラウザのメモリのみに存在
します。このようなウイルスに感染した場合、専用の仮想化セキュリティ製品はいずれも、
ファイルを悪意のあるものとして検知できません。システム上には悪意のあるファイルが存
在しないからです。この方法は現在、情報を盗み出す有名なトロイの木馬ウイルスの多くで
使用され、重大なリスクをもたらしています。
さらに、VI ツールは行動監視を行いません。このツールは、シグネチャによってのみ脅威を
検知し、システム上で包括的なウイルス対策を行うことができません。たとえば、新しく開
発された悪意のあるキーロガーがシステム上で実行されても、シグネチャによってブロック
4
Webroot® SecureAnywhere™ Business - Endpoint Protection
されていない場合、VI ツールを使用したエージェントレス セキュリティ製品では脅威を確
認できません。
次に、仮想インフラストラクチャ ツールを利用した専用のセキュリティ対策は、クラウドま
たは物理的システムには適していません。物理的システムは単一のオペレーティング システ
ムを持つため、エージェントレス アプローチによるセキュリティ対策の意味がないこと、ま
た複数のテナントをもつ公共のクラウド環境では、管理者が VI ツールへのアクセスを許可
されないことが理由としてあげられます。物理サーバーおよびクラウドベースのサーバーで
は、個々のシステムを保護することが最善のセキュリティ対策です。物理、仮想、クラウド
システムにまたがる異なるサーバー/デスクトップのフォーム ファクターを持つ環境を守る
ために、偏ったセキュリティ ソリューションを使用することは、環境全体を保護するための
時間と費用を増加させ、不要な管理コストを発生させることにつながります。
仮想インフラストラクチャにおいてセキュリティを実施することによる効果は認められるも
のの、ほとんどのセキュリティ会社が仮想環境向けにエージェントレス ソリューションを開
発した本当の理由は、アンチウイルス (AV) ストームが発生し、彼らの標準的なエンドポイ
ント ソリューションを運用するためのメモリが不足していたことにあります。つまりエージ
ェントレス ソリューションでは、仮想マシンは依然として高度な攻撃に対しては脆弱であり、
また仮想環境に特化した従来型の偏ったソリューションを追加することによって不要な管理
負担が増えることになります。
高速、軽量かつ効率的な Webroot SecureAnywhere による対策
ほとんどの IT 管理者は、高い効果、パフォーマンスとコスト削減を実現すべく仮想システ
ムを配備、あるいは配備を検討していることでしょう。従来のシグネチャベースのエンドポ
イント セキュリティを使ってパフォーマンスを低下させたり、エージェントレスな方法で会
社の仮想環境を脆弱な状態においたりすることは、好ましくありません。
Webroot SecureAnywhere Business – Endpoint Protection (WSAB-EP) は、革新的な方法で
仮想マシンを保護し、仮想環境で最も効率的なセキュリティと今までにない優れたパフォー
マンスを実現します。
Webroot SecureAnywhere のパフォーマンス
セキュリティを完全にするためには、パフォーマンスを低下させずに個々の仮想マシンを保
護する必要があります。WSAB-EP は、6 秒未満でインストール可能な、非常に軽量なクライ
アント (700 KB 未満) で仮想マシンを保護します。3 このことによって、管理者は新しい仮
想マシンを迅速に配備、より「早い時間で保護」することができ、脅威への全体的な露出時
間を減らすことができます。
仮想環境を構築している多くの会社は、「仮想飽和」状態に陥っています。複数の仮想マシ
ンが同時にアプリケーションを実行し、ネットワークのリソースが不足すると、仮想トラン
スレーション層に負担がかかり、通信障害をもたらします。WSAB によるスキャン実行時のメ
モリの使用量は 約 12 MB のみで、スキャンは 1 分未満で終了します。そのため、IT 管理
5
Webroot® SecureAnywhere™ Business - Endpoint Protection
者はバックエンドおよびシステム利用におけるアンチウイルス製品の影響を心配せずにすみ
ます。
さらに WSAB-EP は、リソースを大量に消費するアプリケーションを検出すると、製品のメモ
リの使用量を自動的に調整します。WSAB-EP では、単一の物理サーバー上の何千という仮想
端末で、サービスの停止やアンチウイルス ストームを発生させることなく同時スキャンを実
行することができます。この作業は、オペレーティング システムの下でハードディスクおよ
びレジストリ解析によるスキャンを実行することで可能になります。パフォーマンスに影響
を与えず、個々の仮想マシンにセキュリティ製品をインストールする WSAB-EP のアプローチ
は、インストール サイズが大きく、コンピューター リソースを消費する他のセキュリティ
ベンダーが真似ることのできない技術です。3
•
•
•
Trend Micro 製品より 92% 少ないメモリの消費量 3
Symantec 製品の 1/99 のインストール速度 3
McAfee 製品の X 倍、Symantec 製品の最大 30 倍のスキャン実行速度 3
Webroot SecureAnywhere 製品による管理
WSAB-EP ではクラウドを使用して管理するため、ローカルのセキュリティ ハードウェア イ
ンフラストラクチャを維持する必要がなくなります。IT 管理者は、1 つの多機能な Web コ
ンソールとユニバーサル クライアントを使用して、物理的なデスクトップ端末とサーバー、
仮想マシン、およびクラウドベース システムを含む環境全体を管理し、把握することができ
ます。クライアント製品は自動登録機能を持ち、手動で更新、修正する必要がないため、更
新作業を予約したり、監視したりする必要がありません。クラウドベース システムを持つ
IT 環境では、サイズの大きい、シグネチャベースのクライアントによる追加の CPU または
ネットワーク負担に悩まされることはありません。Webroot 製品はクラウド環境においても
性能を発揮し、他社製品とは比較にならないサポート体験を提供します。Webroot のサポー
ト エンジニアは、クライアント レベルの問題を迅速に見極め、ボタン クリック 1 つで必
要なログをすべて収集し、問題の分析と解決に役立てることができます。この新しいアプロ
ーチでは、お客様の仮想環境がエンドポイント セキュリティ ソフトウェアに拘束されるこ
となく、最高のパフォーマンスを実現することをお約束します。
WSAB の管理方式は、個々に特化したセキュリティ ソリューションを配備することなく、最
高の仮想化セキュリティ環境を実現します。
6
Webroot® SecureAnywhere™ Business - Endpoint Protection
まとめ
仮想環境およびその他の設備 (物理サーバー、デスクトップ、クラウド システム) を管理す
る IT 管理者は、システム全体にわたって絶対的なセキュリティを維持しながら、仮想化の
恩恵を最大限に享受できるソリューションを必要としています。Webroot SecureAnywhere
Business – Endpoint Protection は今までにない方法で、物理的システム、仮想化システム、
そしてクラウドベースのシステムに対応する、最強のセキュリティと優れたパフォーマンス
を実現します。
正式な VMware プラットフォーム対応製品として認定を受けています :
http://vmware-alliances.force.com/supportedapps/Application?id=087500000006CExAAM
VM プラットフォームに対する Webroot の取り組みに関する宣誓 :
https://na3.salesforce.com/sfc/p/500000007rinpHbljnDYqse8gA8ovRaKgz6j0EM=
対応する仮想サーバー/デスクトップ プラットフォーム :
VMware:
Citrix:
• vSphere 4
• XenDesktop 5
• ESX/ESXi3.0、3.5、4.0、4.1
• XenServer 5.0、5.5、5.6
• Workstation 6.5、7.0、8.0 Server 1.0, 2.0t
Microsoft:
• Hyper-V Server 2008、2008 R2.6
参考文献 :
1 Spiceworks、State of SMB IT、1H 2012▲
2 http://www.vmware.com/virtualization/virtual-machine.html
3 http://www.webroot.com/shared/pdf/Webroot_SecureAnywhere_vs_endpoint_security_competitors_6Feb2012.pdf
4 http://www.av-test.org/en/tests/test-reports/test-reports/?tx_avtestreports_pi1%5Breport_no%5D=120525
Webroot について
ウェブルート株式会社本社所在地
Webroot は、インターネット セキュリティに関する問題の解
〒 107-0062 東京都港区南青山
決に取り組んでいます。1997 年設立の株式非公開企業である
3-13-18 313 南青山 8F
当社は、コロラド州に本社を置き、北米、欧州、およびアジア
太平洋地域で事業を展開しています。詳細については
www.webroot.com
をご覧ください。
©2012 Webroot Inc. All rights reserved.Webroot、SecureAnywhere、および Webroot SecureAnywhere は米国および他国における商標/登録商標です。その他の商標は、それぞれの所有者が
その権利を保有しています。
7