すべての有効になっているデバイスや接続されているデバイスは、攻撃チャネルになる可能性があります。仮想マシン上で権限のないユーザーおよびプロセスは、ネットワーク アダプタや CD-ROM ドライブなどのハードウェア デバイスを接続または切断できます。攻撃者は、仮想マシンのセキュリティを侵害するためにこの機能を利用できます。不要なハードウェア デバイスを削除しておくと攻撃の防止に役立ちます。

次のガイドラインを使用して仮想マシンのセキュリティを強化します。

  • 承認されていないデバイスが接続されていないことを確認し、不要または未使用のハードウェア デバイスを削除します。

  • 仮想マシン内から不要な仮想デバイスを無効にします。仮想マシンにアクセスした攻撃者は、切断された CD-ROM ドライブを接続し、ドライブ内に残されたメディアにある機密情報にアクセスしたり、ネットワーク アダプタを切断して仮想マシンをネットワークから隔離し、結果的にサービス拒否状態にすることができます。

  • 必須ではないデバイスが仮想マシンに接続されていないことを確認します。シリアル ポートとパラレル ポートはデータセンター環境の仮想マシンではほとんど使用されず、CD/DVD ドライブは通常はソフトウェアのインストール時にのみ一時的に接続されます。

  • 必須ではない、さらに使用頻度の低いデバイスの場合、そのパラメータを削除するか、値を false に設定する必要があります。デバイスが必須ではない場合、次のパラメータが存在していないか、値が false に設定されていることを確認します。

    パラメータ

    デバイス

    floppyX.present

    false

    フロッピー ドライブ

    serialX.present

    false

    シリアル ポート

    parallelX.present

    false

    パラレル ポート

    usb.present

    false

    USB コントローラ

    ideX:Y.present

    false

    CD-ROM