vSphere 管理者に優しい Carbon Black Cloud Workload
この投稿は、vExperts Advent Calendar 2023 の7日目です。
今回は、vSphere管理者にとってCarbon Black Cloud Workloadの何が良いのかを説明してみます。「なぜ Carbon Black Cloud "Workload" なのか?」に答える要点を抑えることができたのではないかと思います。
vSphere環境のリスク管理と向き合う
Carbon Black Cloud WorkloadはvSphere環境における「リスク管理」に活用できます。
リスクは脅威と脆弱性と資産の3要素で構成されています。脅威は組織によってコントロールできないため、脆弱性と資産の2要素がリスクをコントロールできる要素となります。また、資産はビジネスの核であることが多く、セキュリティ要件のみで可用性を制限するのは困難です。実質的には脆弱性のみがリスクをコントロールできる要素であるといえます。
そのため、多くの組織ではできる限り脆弱性をつぶし、安全に資産を保有するため、リスク管理を徹底するコンプライアンス型のアプローチが採用されています。あるべきセキュリティレベルと現時点でのセキュリティレベルを比較し、そのギャップを解消する方法です。具体的には、NIST Cyber Security Frameworkなどのセキュリティガイドラインが、あるべきセキュリティレベルの基準として参照されます。
vSphere環境においてもリスクは潜在しています。リスクが顕在化するのを回避・低減するには、資産である仮想マシンと内在する脆弱性を特定することが重要です。組織のセキュリティレベルは最も低い箇所に依存するため、vSphere環境のリスク管理を徹底することが、組織のセキュリティレベル向上に貢献するわけです。
しかし、リスク管理を徹底するには課題もあります。例えば、資産の棚卸や脆弱性の調査・分析には膨大な管理コストがかかり、限られたセキュリティリソース(ヒト、モノ、カネ、時間など)で対応するには、手を付けられる領域が制限されてしまいます。社外への持ち出しが想定されるPCより外部公開されていないサーバーが後回しにされる傾向にあるのは、このような背景も影響していることでしょう。
Carbon Black Cloud Workloadでできること
Carbon Black Cloud Workloadは、vSphere環境のリスク管理をvSphere管理者が実施する上で非常に有用なツールです。これがすべてではないですが、例えば、以下の項目がCarbon Black Cloud Workloadによって実現されます。
- vSphereインベントリの仮想マシンの可視化
- CBCセンサーのインストールステータスの確認
- CBCセンサーが未インストールな仮想マシンの可視化
- CBCセンサーをGUIからワンクリックインストール
- CBCセンサーをGUIからワンクリックアップデート
- CBCセンサーがインストールされた仮想マシンのクローンをサポート
- リスク評価ダッシュボードの表示(脆弱性管理)
- 脆弱性アセスメント
- 脆弱性の詳細情報の表示
- 脆弱性の修正情報へのリンクの提供
- 脆弱性が発見された仮想マシンのリスト表示
- 削除された仮想マシンをCBCコンソールから自動登録解除
そして、これらの項目がすべてvSphere Clientから操作できる点が優秀です。構成としては、vSphere環境へCarbon Black Cloud Workloadアプライアンスの展開と連携を完了することで、vCenter ServerでCarbon Black Cloud Workload Plug-inを表示できるようになります。
このように、Carbon Black Cloud WorkloadはvSphere環境の資産と脆弱性を特定することができ、保護対象の漏れに気づけたり、ライフサイクル管理を改善できたり、脆弱性修正の優先度を示してくれたり、といったリスク管理の遂行を容易にしてくれるツールとなっています。
管理者と環境に適した選択
ここまで、vSphere環境においてもリスク管理は重要であること、管理コストやセキュリティリソースには課題があること、Carbon Black Cloud Workloadでできることを説明しました。
vSphere管理者にとってCarbon Black Cloud Workloadには、やらなきゃいけないリスク管理を低い管理コストとリソースで実行できる良さがあります。サーバー環境のセキュリティ対策には、NGAVやEDRなどがよく検討されるかと思いますが、個人的にはリスク管理の徹底を優先した方が組織のセキュリティレベル向上に効果的であると考えます。そして、vSphere環境においてvSphere管理者がリスク管理を行う場合は、Carbon Black Cloud Workloadを活用するのが効率的であると思います。