仮想デスクトップ・インフラストラクチャーの保護

Technology Blueprint
仮想デスクトップ・インフ
ラストラクチャーの保護
仮想デスクトップ・インフラストラクチャーの最適化によるパフォーマンス
と保護の強化
SECURITY CONNECTED
REFERENCE ARCHITECTURE
LEVEL
1
2
3
4
5
Security Connected
マカフィーのSecurity Connected
フレームワークは、複数の製品、
サービス、パートナーの統合を可能
にすることで、効率的かつ効果的に
一元的なリスク軽減を実現します。
20年以上の実績を持つセキュリティ
プラクティスを基盤に構築された
Security Connectedアプローチを
通じて、規模やセグメントを問わず、
すべての地域の組織がセキュリティ
体制を改善し、セキュリティを最適化
することでコスト効率を高め、戦略的
にセキュリティとビジネスイニシアチブ
を整合させることが可能になります。
Security Connectedリファレンス
アーキテクチャーは、構想から実装
までの具体的な手法を提供します。
このアーキテクチャーを利用する
ことにより、Security Connectedの
概念をお客様独自のリスク、インフラ
ストラクチャー、ビジネス目標に適合
させることができます。マカフィーは、
常にお客様を保護する新しい方法
を見出すことに専心しています。
仮想デスクトップ・インフラストラクチャーの最適化によるパフォーマンスと保護の強化
現状
デスクトップの管理作業を最小化するため、多くの組織が仮想デスクトップ・インフラス
トラクチャー（VDI）の導入に取り組んでいます。そして、 VDI を本番環境に移行して
はじめて、標準のウイルス対策（AV）をサポートするために多くのシステムリソースが
消費され、ユーザーのパフォーマンスが容認できないレベルまで低下することに気づ
きます。これでは、ユーザーがログインしても、 VDI のリソースが不足しているために
セッションを拒否される可能性があります。この問題は、よくある添付ファイル、つまり
全社的に転送された大型ファイルを受信したときに、複数のユーザーが一斉にアクセス
して、複数の AV スキャンが開始されることが一因となっています。また、パフォーマンス
の急激な低下は、毎日必要とされるアップデートのダウンロードやインストール（DAT
シグネチャーや機能のアップデート）によっても引き起こされます。複数システムが同時
に更新されると、共有メモリーに累積的に影響し、ホストの処理によって、リソース
全体にスパイクが発生し、新規のリクエストに対してシステム全体でアクセスが拒否さ
れる原因になります。しかし、ユーザーがその新しい仮想デスクトップを使用している
以上、アクセスを拒否することは許されません。結局、リソースと容量を追加すること
になり、導入のコストが上昇します。
課題
ITが仮想デスクトップ・インフラストラクチャーにウイルス対策を効果的に導入する上で、パフォーマンスの
問題は大きな妨げとなってきました。これまでは、クライアントのゲストイメージを処理するか、ウイルス対策
を実行しないで対応してきましたが、現在ではデスクトップのウイルス対策は多くの企業の基本要件となり、
マサチューセッツ州のデータプライバシー法など、多くの規制でも求められるようになりました。そのため、
ITは仮想デスクトップ・インフラストラクチャーに信頼性に優れた方法で、ウイルス対策を効率的に導入する
必要に迫られています。
仮想デスクトップを保護するためには、従来のエンドポイントで最新のウイルス対策を維持するという課題
に加え、仮想化固有の課題にも対応しなければなりません。仮想化によって、次のような新しい問題が起こ
ります。
• ピーク時の容量の問題：
ピーク時の容量の問題ワークロードのスパイクによって、ハイパーバイザーがオーバーロードになる
AVストーミング（ファイルI/O）という現象が起こり、ウイルス対策のスキャンとDATのアップデートによって
仮想インフラストラクチャーのリソースがすべて消費されます。このオーバーロードによって、新規
セッションの開始が妨げられ、ユーザーは日常業務が制限され、他の作業やクライアントに使用できる
リソースが減少します。
• クライアントへのリソースの集中：
クライアントへのリソースの集中クライアントベースのウイルススキャンソリューションでは、クライアント
のリソースが大量に消費され、ハイパーバイザーごとにインストールできるクライアントの数が制限され
るため、仮想化を導入しても期待どおりの効率化が実現しません。
• 複雑な管理：
複雑な管理現在、多くの企業が仮想化専用のセキュリティソリューションを単独で導入したり、従来の
セキュリティソリューションと併用したりしています。また、異なるチームがそれぞれ運用するプロジェクト
では、本番環境でさまざまなレベルのセキュリティの問題が発生しています。このような並行型のモデル
では、日常的な運用コストとコンプライアンスのコストの両方が上昇します。たとえば、並行してシステムを
運用すると、最新のDATファイルや機能アップデートの適用の複雑さも2倍になります。
2
仮想デスクトップ・インフラストラクチャーの保護
• 脅威から保護された動的なイメージの提供：
脅威から保護された動的なイメージの提供イメージは新しいセッションを開始したときに、十分に管理
されたイメージライブラリーからマルウェアのない状態で提供し、感染の拡散を防止する必要があり
ます。
• 継続的なセッションのセキュリティ確保：
継続的なセッションのセキュリティ確保継続的なセッションは、ログオフ後も更新されずに、データ
センターの一部を占めたままの状態が維持されるため、ネットワーク上の重要なインフラストラクチャー
の近くに存在することになります。保護されていない継続的なセッションによってマルウェアやハッカーが
侵入する可能性があるため、セキュリティを追加して、リスクを緩和する必要があります。
ITがこの基本的なVDIの問題を解決しない限り、企業は社員が所有するコンピューター、タブレットまたは
スマートフォンへの安全な仮想セッションの提供が求められる「ITのコンシューマライゼーション」に対応
することができません。
解決策
マカフィーでは、仮想デスクトップ・インフラストラクチャー（VDI）のセキュリティを効率化するために、2つの
手順を推奨しています。まず、仮想デスクトップのウイルス対策の運用を一元化されたシステムにオフロード
します。次に、VDIのセキュリティをより広範な企業規模のセキュリティインフラストラクチャーに統合します。
この2つの手順によって、次のようなデスクトップ仮想化に固有の技術要件に対応できます。
ソリューション選定の要素
アーキテクチャーには、次のよう
な要素が影響します。
• 複数のウイルス対策ベンダー
を使用しているか
• VDIプロジェクトの最初の設計
段階にセキュリティチームが
関与しているか
• ユーザー所有のノートPC、タブ
レットまたはスマートフォンに
VDIセッションを提供するか
• 継続的なセッションを利用し
た仮想環境へのバッファオー
バーフロー攻撃に対して懸念
があるか
• ピーク時の容量の問題：
ピーク時の容量の問題このモデルでは、一元化されたリソース（ホスト上の専用スキャンサーバーまた
は仮想アプライアンスとして導入されたスキャンサービス）によって、オンアクセスのスキャン処理のオフ
ロードと統合を行います。仮想アプライアンスによって、監視する環境が1つになるため、容量の計画や
増減が簡略化されます。また、オフロードによって各仮想マシンに割り当てるメモリーリソースが減少する
ため、それをリソースプールに戻して、より効果的に活用できます。
• クライアントへのリソースの集中：
クライアントへのリソースの集中ウイルス対策のスキャンを個々の仮想マシンのインスタンスと分離
すると、必要なリソースが大幅に削減されます。「ゲスト」のイメージはエンドユーザーのアプリケーション
処理だけに集中できます。
• 複雑な管理：
複雑な管理仮想化専用ソリューションを単独で使用、または併用する代わりに統合システムを使用し
て、一貫した管理とレポート作成が可能な環境で仮想と物理のエンドポイントのポリシーとスキャンを
管理します。
• 脅威から保護された動的なイメージの提供：
脅威から保護された動的なイメージの提供仮想デスクトップ・インフラストラクチャーを構築する場合、
新しいユーザーリクエストに対して提供する動的なイメージに使用するオフラインのイメージのセキュ
リティを確保する必要があります。オフラインのイメージを継続的に更新するため、ソリューションに
よってこれらのイメージを起動し、ウイルスとマルウェアをスキャンし、最新のセキュリティアップデートまた
はパッチを適用します。このメンテナンスによって、イメージライブラリーを制御し、マルウェアから保護し、
次のユーザーへの対応が可能になります。
• 継続的なセッションのセキュリティ確保：
継続的なセッションのセキュリティ確保メモリーの保護と侵入防止の機能を追加して、ログオフで更新
されないセッションを保護します。
仮想デスクトップ・インフラストラクチャーの保護
3
McAfee Secure VDI ソリューションで使用されているテクノロジー
このような要件を満たすため、McAfee MOVE Anti‐VirusおよびMcAfee ePolicy Orchestrator ®
（McAfee ePOTM）の2つの主要なコンポーネントがあります。効率を向上させるため、他のエンドポイントを
保護するソリューションとの統合もオプションで用意しています。
VM
VM
MOVE
Virtual Appliance
䜰䝥䝸䜿䞊䝅䝵䞁
䜰䝥䝸䜿䞊䝅䝵䞁
MOVE
MOVE
OS
OS
䜸䝣䝻䞊䝗䛾ฎ⌮
䝝䜲䝟䞊䝞䜲䝄䞊
McAfee ePO
䜽䝷䜲䜰䞁䝖
௬᝿䝕䝇䜽䝖䝑䝥
䜽䝷䜲䜰䞁䝖
௬᝿䝕䝇䜽䝖䝑䝥
McAfee MOVE
McAfee MOVEとMcAfee ePolicy Orchestratorの連携によるVDIにおけるウイルス対策運用の一元化と最適化
McAfee MOVE Anti-Virus（AV）
McAfee MOVE Anti‐Virusは、仮想デスクトップ環境におけるオンアクセスのファイルスキャンと定
義ファイルのアップデートをサポートします。このアドオンコンポーネントによって、従来のウイルス対策
ソリューションよりインフラストラクチャーへの影響が大幅に削減されます。
また、McAfee MOVE AVには、デスクトップのHost Intrusion Prevention（Host IPS）とMcAfee
SiteAdvisor ® Enterpriseが含まれています。動的なVDIセッションを超える利用を目指し、継続的なセッ
ションに必要なメモリー保護必要とする企業に対応するため、パフォーマンスへの影響を抑えたMcAfee
Host IPSではセキュリティ層を追加して、継続的な保護を提供します。また、McAfee SiteAdvisor
Enterprise Plusでは、社員が危険なWebサイトをクリックしないよう、アクセスを禁止してリスクを緩和し
ます。Webサイトへのアクセスの承認やブロック、レポートの表示、メッセージ管理、安全性評価に基づいた
処理の割り当てをカスタマイズすることで、これらすべてでポリシーを確実に遵守できます。
4
仮想デスクトップ・インフラストラクチャーの保護
McAfee MOVE仮想アプライアンスは、McAfee ePOで定義したポリシーをベースに各クライアントの
セキュリティを強化する「ブローカー」として機能し、ゲストのためのオンアクセスのスキャンとセキュリティ
処理を行ないます。McAfee MOVE Serverソフトウェアが迅速に応答できるよう、プライマリーとセカン
ダリーのMOVE Serverを仮想アプライアンスで設定し、セカンダリーサーバーをデータセンターの管理
ネットワークに配置します。いずれのサーバーも専用の仮想マシンで実行します。それによって、ゲストが
ネットワークに接続可能な限り、継続的な保護が提供されます。
推奨モデルでは、軽量のエンドポイントコンポーネントを使用して、各仮想マシンのデスクトップの代わり
にウイルス対策を運用する中央のブローカーと通信します。McAfee MOVEのゲストコンポーネントは
各仮想デスクトップにインストールして、MOVE Virtual Applianceとの通信に使用し、McAfee Master
Agentをインストールしてポリシーを適用します。
各バーチャルマシンは個別にポリシーを設定するか、1つのワークグループとして管理されます（異なる
チームのニーズに対応）。ブローカーによって、オンアクセスのスキャンの実行時に最新のシグネチャー
（定義ファイル）が使用されているか確認され、各セッション中にアクティブで継続的な保護が提供され
ます。
McAfee Global Threat IntelligenceTM（GTI）のファイルレピュテーション機能は、これらの仮想デスク
トップのセキュリティを強化します。MOVEのオフロードスキャンアプライアンスによって、McAfee GTI
データベースのファイルレピュテーションが検索され、リアルタイムで保護します。クラウドベースのこの
McAfee GTIでは、毎月数十億のファイルレピュテーションのクエリを受信し、ファイルがマルウェアである
可能性を示す評価を返します。
これらのレピュテーションのスコアは、マカフィーのクラウド、McAfee Labsの研究者および自動ツールに
よる分析からセンサーで収集した情報だけでなく、ファイル、Webおよびネットワークの脅威など、さまざま
なベンダーのデータを関連付けて決定されます。
McAfee MOVEはCitrix、VMware、Microsoftなど、大手の仮想デスクトップ・インフラストラクチャー
ソリューションをすべてサポートしているため、導入の複雑さもありません。
McAfee ePolicy Orchestrator （McAfee ePO）
McAfee ePOは、マカフィー製品とマカフィーパートナーの多くのソリューションを一元管理するプラット
フォームです。McAfee Secure VDIでは、各ゲストイメージへのクライアントソフトウェアのインストール、
新しいポリシーの適用、クライアントのアクティビティの監視、コンテンツとクライアントのアップデートの保存
と送信を行ないます。McAfee ePO Extensionでは、McAfee MOVEのコンポーネントに対し、設定、
スケジュール、セキュリティレポートのインターフェイスが提供されます。
• McAfee ePO エージェントはゲストとMcAfee ePOのコンソール/データベース間の媒介として機能
します。
• McAfee ePOでは、仮想と物理の両方のインフラストラクチャーのセキュリティを管理する「1つのウィン
ドウ」が提供され、これらのインフラストラクチャーすべてのステータスレポートが表示されます。
仮想デスクトップ・インフラストラクチャーの保護
5
導入効果
McAfee MOVEとMcAfee ePOを導入すると、AVストーミングなどのピーク時の容量の問題、クライアント
のリソース消費、管理の複雑化、動的なイメージを必要とするセキュリティ、継続的なセッションなど、冒頭で
説明した主な課題を解決します。
マカフィーのソリューションは、ハイパーバイザーの密度を向上するような設計など、仮想環境のROIを最
大化させます。MOVE AVでは、McAfee VirusScan Enterpriseをローカルで実行した場合と比べてVDI
の密度が大幅に改善され、CPU、ディスク、ファイルI/Oの管理が効率化します。仮想環境であっても、すぐに
イメージを再構築することはできますが、この種の作業をユーザー自身が行わなくても良いようにすること
が本来の目的なのです。オフラインでイメージのスキャンと更新を行なうことで、McAfee MOVE AVでは
仮想デスクトップでイメージライブラリーを完全に管理して、マルウェアの侵入を防止することができます。
また、ユーザー体験が向上し、必要に応じていつでもアクセスできるだけでなく、ハイパーバイザーの負荷
も軽減されます。
安全なVDIの構築を妨げてきた基本的な問題が解決されるため、ユーザーは複数のソースやネットワーク
から接続できます。また、このような接続の柔軟性によって、個人のデバイスのサポートやホストされた
データセンターへの移行などのITイニシアチブを進めることができます。
6
仮想デスクトップ・インフラストラクチャーの保護
Q&A
MOVE AV にはウイルス対策のスキャンエンジンは含まれていますか。
はい。MOVE AVでは、専用のオフロードスキャンサーバーまたはMOVEオフロードスキャン仮想アプライ
アンスにMcAfee VirusScan Enterprise（VSE）が含まれています。
McAfee VirusScan は各仮想デスクトップにインストールする必要がありますか。
いいえ。MOVE AVサーバーではエンドポイントにAV機能が提供されるため、各仮想デスクトップのワーク
ロードが軽減されます。仮想サーバーのMOVE AVでは、サーバーにMcAfee VirusScanをインストール
する必要はありますが、各仮想デスクトップにインストールする必要はありません。
MOVE AV for VDI では、オンアクセスのウイルススキャンのみ提供しているのはなぜですか。
動的なセッションでは多くの場合、ログインのたびに更新されるため、共通のファイルは感染していない
状態です。問題は、電子メール、ダウンロードまたはUSBを通してユーザーが環境に持ち込んだ新しい
ファイルですが、これらのファイルはアクセス中にスキャンされ、マルウェアでないことが確認されます。
AVのスキャンに加え、McAfee MOVE AVにもデスクトップのHost Intrusion Prevention（Host IPS）
とMcAfee SiteAdvisor Enterpriseが含まれています。動的なVDIセッションを超える利用を目指し、
継続的なセッションに必要なメモリー保護を必要とする企業に対応するため、パフォーマンスへの影響
を抑えたMcAfee Host IPSではセキュリティ層を追加して、継続的な保護を提供します。また、McAfee
SiteAdvisor Enterprise Plusでは、社員が危険なWebサイトをクリックしないよう、アクセスを禁止して
リスクを緩和します。Webサイトへのアクセスの承認やブロック、レポートの表示、メッセージ管理、安全性
評価に基づいた処理の割り当てをカスタマイズすることで、これらすべてでポリシーを確実に遵守でき
ます。
仮想デスクトップ・インフラストラクチャーの保護
7
追加情報
www.mcafee.com/japan/products/move_antivirus.asp
www.mcafee.com/japan/products/epolicy_orchestrator.asp
www.mcafee.com/japan/downloads/
＊本書は 2012 年 10 月時点での情報です。仕様等の変更が生じる場合や、一部、日本未発売の製品も含まれています。
詳細はお問い合わせください。
著者について
Uy Huynh は、マカフィーのセールスエンジニアリング部門のシニアディレクターです。お客様のセキュリティ
体制を強化し、最も重要なデジタル資産の保護を支援するため、Uyは、セールスエンジニアリングチームが
適切なセキュリティソリューション、設計、およびベストプラクティスを確実に提供できるよう取り組んでいます。
また、お客様の複雑な要件に対応する適切なセキュリティ製品を選択できるよう、セキュリティ専門家としてHP、
Oracle、ATT、McKessonなどのFortune 100の大企業のお客様などと連携して仕事をしてきました。
マカフィー入社以前は、Foundstoneで自ら立ち上げたSE部門を統率していました。同社では、大規模なネット
ワークおよびシステム向けの、脆弱性管理とリスク管理のベストプラクティスを開発しました。Foundstoneの前
は、ISSのシニアコンサルタントとして、大手企業へのさまざまなセキュリティソリューション、ポリシーおよびテクノ
ロジーの導入を担当していました。
マカフィー株式会社
www.mcafee.com/jp
東京本社
〒150-0043　東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F　TEL：03-5428-1100(代)　FAX：03-5428-1480
西日本支店
〒530-0003　大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F　TEL：06-6344-1511(代)　FAX：06-6344-1517
名古屋営業所
〒460-0002　愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F　TEL：052-954-9551(代)　FAX：052-954-9552
福岡営業所
〒810-0801　福岡県福岡市博多区中洲5-3-8 アクア博多5F　TEL：092-287-9674(代)　FAX：092-287-9675
McAfeeの英文/和文社名、各商品名、ロゴはMcAfee, Inc.またはその関連会社の商標または登録商標です。本書中のその他の登録商標および商標はそ
れぞれその所有者に帰属します。 2012 McAfee, Inc. All Rights Reserved.　●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業
部までお問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。　MCABP-SVDI-1210-MC

Download Report