シマンテックは2012年11月5日、ホスト型のセキュリティソフト2製品に追加した新機能について説明した。いずれも、VMware環境を安全に利用するためのもので、ハードニングソフト「Critical System Protection 5.2」の新機能は、ハイパーバイザーやvCenterサーバーを攻撃から守る。一方、統合セキュリティソフト「Endpoint Protection 12.1」の新機能は、ウイルススキャンの負荷を効率よく低減させる。
VMware向けに新機能を追加したソフトの一つ「Critical System Protection」は、ソフトウエアのイメージをROM化して固めてしまう、いわゆるハードニング(要塞化)ソフト。起動可能なプログラムだけをホワイトリストとして登録することでマルウエアの起動を阻止したり、ファイルシステムをリードオンリーにしてファイルの生成を抑止する。
「仮想環境ならではのリスクとして、ハイパーバイザーやVMware vCenterを狙った攻撃が登場している。実際にW32.Crisisというマルウエアがある」と警告するのは、シマンテックでリージョナルプロダクトマーケティングマネージャを務める広瀬努氏(写真)。2012年9月にリリースした機能では、同ソフトのハードニング機能をVMware環境向けにアレンジしていることを説明した。
具体的には、ハイパーバイザーを守るために、ハイパーバイザーのログイン成功/失敗や各種ログを監視する専用のエージェントソフトを用意した。ハイパーバイザー自身が要塞化されており、独自のエージェントを追加できない仕様になっている。このため、仮想サーバーの1台にエージェントをインストールし、ハイパーバイザーのvCLI(コマンドラインインタフェース)を介して情報を収集する。
さらに、管理ソフトであるVMware vCenterをインストールしたWindows Serverに同ソフトをインストールすることで、vCenterを乗っ取るマルウエアの侵入などを防止する。ハイパーバイザー監視のポリシー(VMware Hardening Guideに準拠)も、vCenter監視のポリシーも、いずれも同ソフトに最初からプリセットされており、ユーザーがこれらを自ら設定する必要はない。
スキャン済みホワイトリストの共有機能をvShield環境で利用可能に
VMware向けに新機能を追加したもう一つのソフトは、Endpoint Protectionである。同ソフトは、ウイルス対策機能を中核とした統合セキュリティソフト。最大の特徴は、仮想サーバーのマスターイメージに含まれるファイル情報や、ウイルススキャン済みのファイルの情報をホワイトリスト化し、これを仮想サーバー間で共有できること。ウイルススキャンを減らすことができるため、ハイパーバイザーへの負荷やディスクI/Oを削減できる。
2012年12月には、ウイルススキャン済みのファイル情報をサーバー間で共有する「Shared Insight Cache」(SIC)機能を、VMwareのセキュリティ機構であるVMware vShieldに対応させる。具体的には、vShieldの仕組みを利用して、仮想サーバー間でスキャン結果を共有する。これにより、他のソフトとの情報共有が進むなど、効率がよくなるとしている。
「仮想サーバーの集約率が上がると、スキャン時間が集中し、ハイパーバイザへの負荷が増える。これをAVストームと呼ぶ。特にVDIシステムではAVストームが起こりやすい」(広瀬氏)と警告する。同社の検証実験では、仮想サーバー16台の環境で、SICを使わない場合と使った場合とで、ディスクI/Oが半減したとしている。
