Veeam用語集
仮想化セキュリティとは

仮想化セキュリティとは

仮想化は、仮想マシン（VM）と呼ばれる物理コンピューターのソフトウェアシミュレーションです。VMは、VMと物理ハードウェアまたはオペレーティング・システムの間にあるハイパーバイザー・サービスで動作します。ハイパーバイザーの代表的な例としては MicrosoftのHyper-V技術があります。仮想化セキュリティは、VMにセキュリティを提供する柔軟なソフトウェアベースのシステムです。仮想化セキュリティシステムによってこの複雑な運用環境が保護され、ハイパーバイザー、オペレーティングシステム、各VMはそれぞれの環境で動作しつつ、悪意のある脅威から保護されるようになります。

セキュリティ仮想化はどのように機能しますか？

仮想化セキュリティソフトウェアでは、従来のハードウェアおよびソフトウェアベースのサーバーの機能と、ファイアウォール、侵入防止、マルウェア対策ソフトウェアなどのコンピューターセキュリティシステムが再現されます。ハイパーバイザ・レイヤーで動作するソフトウェア由来の仮想化セキュリティ・サービスが各VMを保護します。この保護は、仮想エンドポイントと、ユーザーとコンピューターを含むその他のソフトウェア定義インターフェイスを含むように拡張されます。

仮想セキュリティは、物理セキュリティソフトウェアが物理環境で行うのと同様の機能を仮想環境で実行します。これには、階層化された、より複雑なシステムであるVMを保護する必要性が含まれます。 VMはソフトウェア定義のCPU、サービス、RAM、およびハードドライブを使用しますが、最終的にはホストコンピューターまたはサーバーの物理コンポーネントを共有します。また、各VM（ゲストマシンとも呼ばれます）は、他のVMから分離する必要があります。仮想化されたセキュリティでは、暗号化やマイクロセグメンテーションといったさまざまなセキュリティ制御を利用して、この分離を実現して潜在的な攻撃を制限します。

セキュリティ仮想化のタイプ

仮想化は、システムとアプリケーションをセグメント化して分離するため、セキュリティリスクを軽減する効果的な方法です。セキュリティの仮想化はサンドボックス技法の一種であり、VMを相互に分離して、ウイルスや外部マルウェア、その他の脅威から個別に保護します。仮想化には他にも次のようなものがあります。

サーバーの仮想化
デスクトップ仮想化
ストレージ仮想化
ネットワーク仮想化
アプリケーションの仮想化

サーバーの仮想化

サーバー仮想化とは、サーバーが複数の仮想サーバーまたはマシンに分割されることです。各VMはメインサーバーから独立して稼働します。物理リソースをより効率的に使用できることに加えて、サーバーの仮想化の主なメリットとして、それぞれのVMを他のマシンや物理環境から分離して、侵害されたアプリケーションの影響を制限できることが挙げられます。サーバー仮想化では、通常、サーバー・オペレーティング・システムに代わるタイプ1のベアメタル・ハイパーバイザーを使用します。

デスクトップ仮想化

デスクトップ仮想化は、仮想デスクトップコンピューターの作成を指す点を除いて、サーバー仮想化と同様の概念です。これにより、ユーザーはどこからでもコンピューターにログインできます。ファイルとデータは、ポータブルデバイスではなくサーバー上で保護され、一元的なセキュリティによって保護されます。

ストレージ仮想化

ストレージ仮想化とは、仮想ストレージ・サーバーとそれに関連する仮想ハード・ドライブを作成することです。このアプローチにより、ユーザーはデータをさまざまな形式で保存でき、IT管理者は、データの保護や日常的なバックアップの管理、サーバーに障害が発生した場合のディザスタリカバリ（DR）プロセスの策定が容易になります。

ネットワークの仮想化

ネットワークの仮想化では、仮想プライベートネットワーク（VPN）と同様に、物理リソースと仮想リソースを組み合わせて仮想企業ネットワークを形成します。ネットワークの仮想化では、インターネットを介してユーザーとデバイスを任意の場所から安全なプライベートネットワークに接続することができます。これには、仮想ファイアウォール、侵入防止、ロードバランスといった機能が含まれます。

アプリケーションの仮想化

アプリケーションの仮想化を使用することで、ユーザーはソフトウェアが存在する場所とは別のコンピューターでアプリケーションを実行できるようになります。通常、アプリケーションの仮想化はオペレーティングシステムに依存しないため、このソフトウェアアプリケーションはどのマシンでも実行できます。これにより、管理者はアプリケーションを一元的に更新してパッチを適用し、ユーザーのアプリケーション権限を制御できます。仮想化アプリケーションではユーザーとシステムのデータが一元的に保存されるため、保護が容易になります。

仮想化セキュリティの利点

仮想化セキュリティソリューションは、管理者が仮想ネットワークの複雑さに対処するのに役立ちます。これらは、より柔軟で実装が簡単なため、従来の物理的なセキュリティ対策よりも優れたソリューションです。メリットとしては、次のようなものがあります。

費用対効果：仮想セキュリティソリューションの実装は、高価な物理ハードウェアやデバイス固有のセキュリティソフトウェアソリューションと比較して安価です。
柔軟性：管理者は、変化する要件に合わせて仮想セキュリティソフトウェアを簡単に拡張し、複数の物理およびハイブリッドデータセンターで使用できます。
データ保護の向上：最新のデータ保護技術を活用することで、より簡単にデータをサイバー攻撃から保護してデータ消失や破損から復元することができるようになります。
運用効率の向上：一元管理型の仮想セキュリティソリューションは、個々の設定を必要とする物理システムと比べ、より簡単かつ迅速にネットワーク全体に導入することができます。
規制コンプライアンス：仮想システムやクラウドベースのシステムを利用する組織の規制コンプライアンスのニーズを満たすことができるのは、仮想化セキュリティシステムをおいてほかにはありません。

仮想化セキュリティのリスク

仮想化環境には多くのメリットがありますが、複雑さが増すと全体的なリスクが増大する可能性があります。ワークロードやアプリケーションの移行は簡単であるため、クリティカルアプリケーションを不意に安全性の低い環境で実行してしまうことがあります。VMの作成は簡単であるため、慎重にカタログ化して管理しないと、未使用のVMや十分な保護のないVMが大量に発生し、脆弱性が全体的に高まる可能性があります。VM用に作成された未使用のファイアウォールポートは、ハッカーが悪用できるさらなるリスクとなります。ハイパーバイザー層は、その場所への攻撃が成功するとシステム全体がダウンする可能性のある「単一障害点」です。

物理セキュリティと仮想セキュリティ

物理的なセキュリティは、ハードウェアベースの保護に依存しています。企業ネットワークでは、ルーターやファイアウォールを使用してネットワークアクセスポイントを保護します。物理的セキュリティは効果的ですが、本質的に柔軟性に欠けます。管理者は、物理コンポーネントであろうとセキュリティソフトウェアであろうと、一度に1つずつ変更を加える必要があります。物理ソリューションは、ネットワーク境界が動的に変更される可能性がある仮想環境では効果的ではありません。

仮想セキュリティシステムは一元化され、変更はネットワーク全体に適用されます。新しいVMを作成すると、システムによって適切なセキュリティプロトコルが自動的に適用されます。これは、ネットワーク上のワークロードを分離して不正アクセスを防止し、特定のワークロードにセキュリティポリシーを適用し、トラフィックとリソースをセグメント化するための簡単なプロセスです。ユーザーアクセスとアクセス許可の管理は、物理ネットワークよりも仮想システムの方が簡単です。

適切な仮想化セキュリティの選択

選択すべき仮想化セキュリティーのタイプは、システムがハイブリッドかどうか、使用するハイパーバイザー・ソリューションのタイプ、組織の特定のニーズなど、いくつかの要因によって異なります。考慮すべきその他の機能には、利用可能な保護の種類と、システムが侵害された場合の対処方法が含まれます。

ハイパーバイザの種類によって、仮想セキュリティシステムで使用できる選択肢の数にいくつかの制限があります。たとえば、VMware ESXiハイパーバイザーを使用している場合、ハイパーバイザーレベルで実行されるエージェントレスのセキュリティソフトウェアソリューションを選択できます。エージェントレスソリューションはVMへの影響が最小限で、汎用的に適用され、更新も容易です。また、Microsoft Hyper-V、Azure、Citrixといった他のタイプのハイパーバイザーでは、それぞれのVMにインストールされる、小型のフットプリントエージェントを使用するセキュリティソリューションが必要になる場合があります。パフォーマンスに影響を与える可能性があるものの、多くの場合、小型のフットプリントエージェントにはエージェントレスソリューションと比べて追加機能が備わっています。