Morphisecのライターチームの中原です。
VDI(Virtual Desktop Infrastructure)環境にはどのようなサイバーセキュリティ対策が必要であるか検討されたことはあるでしょうか。
動作が重くなるから、感染しても初期化すれば大丈夫だからと、アンチウイルスのみだけで終わらせていませんか。
VDIはその基盤としての安全性、強固なセキュリティ体制が評価されており、クライアント端末上にデータが保存されないことから、PCの紛失事故・盗難被害による情報漏洩のリスクが低減できるとされています。
また、インターネット接続が出来れば業務環境にアクセスできる可用性の利点、サーバ側でセキュリティパッチの提供が出来る他、従業員の業務端末環境を一元管理できる運用面での利点など、メリットが多くあります。
良いことずくめのように聞こえますが、デメリット・対策が必要なリスクも存在し、それぞれについてどう対応するかを検討する必要があります。
アクセス経路を保護するためにSSL-VPN、認証強化のために多要素認証の導入を勧められる場合が多いですが、エンドポイントとしての側面を持つVDI環境には、マルウェア感染のリスクも当然存在しています。
したがってエンドポイント保護対策製品(EPP)を導入する必要が大いにあるのですが、VDI環境はその特性上EPPの導入に関して特有の課題があり、対策に苦慮されているケースが多く存在します。
VDIの特徴およびそのメリットについて再度確認し、EPPを導入する上での課題を提示します。そして最後にVDI環境に最適な対策についてご紹介いたします。
- Morphisecのページから資料を無料ダウンロード
VDIのセキュリティ対策を検討中の方へ
目次
VDIの普及
働き方改革および新型コロナウイルスの爆発的な感染拡大を受けて、リモートワーク(テレワーク)が日本国内で急速に普及しました。
自宅などオフィス外で仕事ができるリモートワークは、通勤時間の削減、オフィスへの通勤圏外に住む人材の採用が可能であるなどの様々なメリットがあり、現在多くの企業がリモートワークを採用・推進しています。
自社のリモートワークの基盤として、既にVDIの導入を行った、あるいは検討中であるという企業もまた多いでしょう。
VDIの特徴とメリット
次に、一般的なVDIの特徴とメリットを3つご紹介します。
クライアントにデータが残らない
実際の業務環境および重要なデータはサーバ側で管理され、クライアント側には画面が転送されているだけであるため、ローカル端末にデータが保存されないという特徴があります。
テレワーク等で使用している持ち出し端末をカフェや電車に置き忘れるなどして紛失する、あるいは置き引きなどの盗難が発生した場合に、情報漏洩のリスクを低減することが出来ます。
集中管理できる
各端末はサーバ上で作成されたマスターイメージから展開するため、OSのバージョンやパッチの適用状況、インストールされるアプリケーションを管理者側で一元管理することが可能です。
そのため、従業員一人一人の端末をケースバイケースで1台ずつ対応しなければならないということも無くなります。
テレワーク推進と事業継続性
VDIによって、セキュリティを維持しつつテレワークの基盤を従業員に提供することが可能です。
また、VDI基盤が災害対策の施されたデータセンター上に構築されていれば、災害発生時にもデータは保持され、業務を続けることが可能となります。そのため、事業継続計画(BCP)の面でもメリットがあります。
このようにVDIは様々なメリットを持ちますが、エンドポイントのセキュリティ対策をする上では課題も抱えています。
VDI環境におけるセキュリティ対策の課題
VDIのセキュリティ対策がなぜ進まないのか、大きな理由を3点紹介します。
パフォーマンス負荷の影響が大きい
EPP製品は導入するとどうしても各端末にある程度のCPU負荷がかかってしまいます。
1台1台はたいしたことが無くても、VDIのような多数の端末を1台のサーバで管理している環境の場合、何重にも膨れ上がった負荷によってパフォーマンスに影響が出てしまい、対策製品の導入が困難になるケースがあります。
チューニングを施すことで解消する場合もありますが、チューニングは保護機能を緩めることと同義であり、あまりお勧めは出来ません。
また、定期的な通信やログ収集・スキャンなどの操作がネットワーク帯域の負荷となることもあり、ことパフォーマンスに対して気を遣う必要があります。
- Morphisecのページから資料を無料ダウンロード
CPUの負荷が少ないセキュリティ対策
パッチの適用など環境の更新に時間が掛かる
メリットとして端末を一元管理できることを挙げていますが、ことはそう簡単ではありません。マスターイメージを更新するには、パッチの適用・OSの更新等によってアプリケーションに影響が無いかなどを検証する必要があります。
ここで影響が出てしまうと全端末で業務に支障が発生するため、慎重に行わなければなりません。
日々リリースされるセキュリティパッチをリアルタイムで適用し、それを配布しなおすのは中々難しく、どうしても適用までにラグが発生してしまいます。
VPN基盤の脆弱性
VDIで利用されることの多いVPNですが、VPNデバイスの設定ミスやパッチ未適用の脆弱性を突かれる形で、ランサムウェア被害に遭う事例が発生しています。
セキュリティ対策のためにシステムの導入を行っても、パッチ適用などの手当が行き届いていなければかえって攻撃の糸口を増やすこととなり、結果として攻撃者に悪用されてマルウェアに感染してしまいます。
これらのことから、VDIは通常の物理デスクトップ環境と同様に、高度化が進む脅威に対する多層防御が必要でありながら、パフォーマンスへの影響を考慮せねばならず、セキュリティ対策が非常に難しい環境となっております。
VDI環境のセキュリティ対策はMorphisec
高度な脅威への対策が出来る・パフォーマンスへの影響が低いという点を両立し、なおかつ既存の対策製品に追加することで、“エンドポイント上の”多層防御をすることが出来る製品として、当社はMorphisec(モルフィセック)を提供しています。
従来の防御手法とは異なる、メモリをランダマイズするプロアクティブディフェンスにより、非常に軽量でありながら、強力な防御能力を提供します。
- Morphisecのページから資料を無料ダウンロード
VDIのセキュリティ対策を検討中の方へ
低いパフォーマンス負荷
Morphisecは、ユーザーが業務で使用するアプリケーションが動作する際に、割り当てられるメモリリソースをランダムに変化させます。これにより、攻撃者が想定している脆弱点へのアプローチが成り立ちません。ふるまい検知のように常時監視する手法ではないため、端末への負荷は非常に低くなります。また、定期的な通信(ハートビートなど)、脅威を検知した際のログのサイズも小さく、ネットワークへの負荷も最小限となっています。
パッチの適用までのギャップ保護
アプリケーションのメモリリソースをランダム化するという防御手法により、正規のアプリケーションは問題なく動作させつつ、攻撃者の悪意ある動作のみを防ぐため、メモリの脆弱点を狙うファイルレス攻撃に対して強い効果を発揮します。アプリケーションが修正パッチ適用前であり、脆弱性を抱えた状態であっても保護できるため、パッチを適用するまでのギャップを埋めることが出来ます。Morphisec自体はいわゆるシグネチャやパターンファイルに依存していないため、いつでも最適な保護を提供します。
VDIソリューションとのパートナーシップ
MorphisecはCitrix, VMware, MicrosoftといったVDIのベンダーと技術的なパートナーシップを結んでおり、Citrix XenApp および XenDesktop、VMware Horizon、Microsoft Windows Virtual Desktop などの主要な VDI ソリューションでの実績がございます。
またこのパートナーシップを活かし、VDIソリューションの新バージョンリリースの際には、問題が発生しないよう十全な検証を行っています。
基盤自体と競合を起こすことなく、導入してすぐにご利用いただけます。
結論
このように、Morphisecは非常に低いパフォーマンス負荷と、定期的な更新が必要となるパターンファイルを必要としない製品設計により、Morphisec自体に掛かる運用の手間を最低限としながら、保護機能の増強が可能である、VDI環境に最適な多層防御の追加レイヤーを提供します。
VDIのセキュリティ対策というと、どうしてもVPNや多要素認証などのネットワーク接続・認証の対策に目が行きがちですが、基本中の基本であるエンドポイント対策をどのように行うのか、今一度立ち返って検討してみてはいかがでしょうか。
- Morphisecのページから資料を無料ダウンロード
VDIのセキュリティ対策を検討中の方へ
