非永続のVDIセキュリティの神話を崩す

※ 本ブログは、2017年3月13日にBromium BlogにポストされたBusting the Non-Persistent VDI Security Myth! の日本語訳です。

• 非永続型も含めてVDI環境は今日のマルウェアを防御することに役に立たない。
• VDIは物理デスクトップと同じようにマルウェアに対して感染しやすい。
• 仮想ベースセキュリティ（Virtual Based Security VBS）こそが物理、仮想デスクトップ双方に対してのサイバーセキュリティ問題を解決する。

Bromium社で官庁顧客へのプロフェッショナルサービスチームを率いてきた経験の中で、大規模かつ最も洗練された政府機関の顧客と接する機会がありました。

近年そうした顧客の間で良くあがる話題があります。「なぜ同じ状態が永続しない仮想デスクトップ環境に対して追加のセキュリティが必要なのか？今までの一般的なデスクトップ環境より安全ではないのか？」

こういったコメントを聞く皮肉さは、私自身が以前の職務でこのような機関（顧客の）が様々な利用目的でVDI展開をすることのお手伝いをしてきたことです。誤解ないようにしておきたい点は、VDIは適切に展開されれば、企業にとってビジネス利益をもたらし、かつセキュリティの状態を改善する方策でありうるということです。ただしVDI、非永続の一時的な仮想VDIであってもマルウェアに対する防護は提供しません。

すでに対セキュリティ対策としてのVDIの長所、短所についてはいくつかの非常に有用なブログがリリースされています。特にShawn Bass氏（現在VMWare社のCTOの役職）による5部作の文書を読むことを推奨します。その中からいくつかのコメント：

• VDIは今までの一般的なデスクトップ環境より安全だと思うでしょう？間違いです。
• VDIとTSは物理デスクトップより安全ではない。
• なぜVDIが物理デスクトップより安全と思われるのか？

しかしこのようなブログ自体書かれてから数年経っており、その4-5年間の間にもVDIの適用と展開は続いています。ですからこのトピックについて再考する必要があると考えます。
今回このブログを書くにあたり、主体を置くのは永続性のない(non-persistent)仮想デスクトップを参照することにします。なぜなら公共機関で展開されている大多数のデスクトップはこのタイプであり、「安全性が高い」と見なされているからです。

なぜ永続性のないVDIの安全性が高い、とみなされるかの典型的な理由（説明）には以下のような論点が挙げられます。

• そのデスクトップ環境は同じ状態を永続しないので、いったんリブートされればマルウェアを含むすべての変更は取り除かれる。
• VDIはさらに高度の構成管理を可能にするのでイメージやアプリケーションに対する未認可の変更を防ぐ。
• 重要データはデータセンタ内に存在するので盗難や消失を難しくする。

公平な見方をすれば、非永続のVDIは上記のような利点をある程度提供すると言えます。しかし多くの場合このような利点は問題の現象を解決する支援を担うだけであり、問題の根本を解決するわけではありません。また場合によっては、一つの問題を解決することで別の問題を生み出すようなことになります。特定のポイントに対して各々議論をするよりはまずは「中立立場」を掲げてVDI環境でAPTが一般的な攻撃の手段に対してどのような役割を果たすか見てみましょう。

Exploitation　（エクスプロイト）：

永続性のないVDIはエクスプロイトに対しての防御は行いません。唯一の「防衛」（攻撃の妨げ）は最初のエクスプロイトがそのデスクトップが再起動されるまでの今のVDIセッション内で起きなければならないということです。現実には典型的な8時間勤務時間枠があれば仮想デスクトップがエクスプロイトの対象になるには十分すぎる時間があるということです。その機会を利用して攻撃者は入り込み、そのままじっと潜み、他展開する足掛かりを得るのです。もうひとつの「弱点、狙い目」はVDIデスクトップ環境に何らかのアップグレードを展開することは複雑でユーザのワークフローに対するネガティブな影響を引き起こす、といった可能性があります。そのためにVDIデスクトップに対する最新のアップデート適用がおろそかになることが良く散見されるということです。

結果このようなデスクトップは古く更新されていないバージョンのソフトウェアを実行しているので「さらに」危険な状態にあると言えます。

たとえマルウェアが存在するのが2-3時間であってもその2-3時間が非常に深刻な被害をもたらすことには十分可能です。ユーザの信用情報を盗んだり、重要なデータを盗難、全てのファイルやアプリケーションサーバに対してクリプトロッカーを実行することは数分で可能なのです。

Persistence　（永続性）：

VDI環境の「セキュリティ利点」の一番に上げられるのはリブートされればそれまでのデスクトップ上での変更はきれいに取り除かれ、真新しい環境が作成されるのでマルウェアが存続できない、ということです。非永続の環境はたしかにアプリケーション管理やユーザによる未許可の変更に対する負荷を減少することを可能にします。

しかし、しつこい攻撃者を追い払うにはほぼ役に立ちません。過去にもマルウェアがユーザのローミングプロファイルやマッピングされたネットワークドライブを悪用し、その他環境内に潜み、リブート時にユーザがそのデスクトップに再ログインする際自身をリロードするといった、事件を多数経験しています。

ハッカーにとっては「8時間の攻撃可能な時間枠」を複数与えられることになり、つまり実際は永続しない、という利点自体が排除されることになります。

Lateral Movement　（横展開）：

一旦攻撃者がひとつのデスクトップを侵害したら、典型的な次の手は横展開することです。このような場合にVDIはどう対処できるでしょうか？現実VDIは対処できず、多くの利用者の環境でこの横展開を逆に容易にしているケースが見受けられます。何故でしょうか？つまりアクセスに尽きます。デスクトップがいったん侵害されるとそのワークステーションからのクレデンシャルを利用してその他のVDIワークステーション、物理ワークステーション、サーバにまたがり横展開することが可能です。いくつかの例ではVDIのデスクトップとインフラ上での特権アカウントが共有されている場合もありました。その他の懸念としてはそのVDIデスクトップはデータセンタIPアドレスを保持しているので、Tier１サーバリソースへのネットワークアクセスが可能な場合があります。両方のケースであっても適切なアカウント管理およびネットワーク分離で問題は解決されますが、そのような対処がされても（対処されていない場合が大多数ですが）結局は物理デスクトップのセキュリティモデルに戻るのです。

Exfiltration　（持ち出し）：

「VDI環境はデータが建物から歩いて出ていくことを防ぐのに役立つ」と頻繁に聞きます。確かにVDIは物理的なアクセスに関わる憂慮点のいくつかを解決するかもしれませんが、もしすでに悪者が内部ネットワークに足がかりを付けているとしたら実際は問題を悪化させます。VDIデスクトップは内部ファイル共有やデータベース共有に対するユーザ利便を考え、ネットワーク資源へのアクセスが高速であることが一般的です―これは良いユーザ悪いユーザ両方にとっての朗報ですが。もう一つの課題は、デスクトップ環境が永続性なく、ログイン時にランダムにアサインされるため、もしデータ持ち出しがあったとしても複数のデスクトップ、IP、ユーザアカウントにまたがって起こっている可能性があり、その追跡や記録が単体の侵害されたワークステーションで起こっている場合より難しくなります。

事実：VDIはいくつもの技術的な課題を解決し、採用した企業にとって有用なビジネス上の利点を提供します。

誤解：現実は上記の利点のうちにマルウェアに対する防御は含まれないということです。永続性のないVDI環境を展開したとしても、マルウェア攻撃対しては物理デスクトップと同じようにあるいは、それ以上に感染しやすいのです。

このような状況ではハードウェアベースの仮想化をセキュリティ目的で利用する概念が有利です。しかしOS全体に仮想化を施しながらも、内部データにアクセスを許可しているのであればマルウェアに対しての防御という意味では有効でありません。各々のアプリケーション、データ自体が仮想化（隔離）されるアーキテクチャで、悪意あるWEBページ、文書、あるいは実行モジュールが持続したり、横展開したり、使い捨てのマイクロVM枠より外部に逃げ出すことが不可能であるようにすべきです。Bromium社のSecure Platformはまさにこの機能を提供します。

Bromiumのマイクロ仮想化は物理デスクトップのみならず仮想デスクトップ、永続性のないVDIも含め、も防護します。Bromium Securre Platformはビジネス上の利点とVDIの中央管理モデルのメリット双方を合わせ、企業にとって最もセキュアなデスクトップ環境を提供します。

Author : Robert Wiggenhorn

監訳：ブロード