VMware は、安全な方法で VMware 製品を展開および操作するための規範的なガイダンスを示すセキュリティ強化ガイドを用意しています。vSphere では、このガイドは「vSphere セキュリティ設定ガイド」(旧称「セキュリティ強化ガイド」)と呼ばれています。

vSphere セキュリティ設定ガイドには、セキュリティのベスト プラクティスが含まれています。vSphere セキュリティ設定ガイドは、規制ガイドラインやフレームワークに直接対応していないため、コンプライアンス ガイドではありません。また、vSphere セキュリティ設定ガイドチェックリストとして使用するためのものではありません。セキュリティには常に妥協があります。セキュリティ制御を実装すると、操作性、パフォーマンス、その他の運用タスクに悪影響を及ぼす可能性があります。セキュリティの変更を行う前に、VMware からのアドバイスであっても、他の業界からのアドバイスであっても、ワークロード、使用パターン、組織構造などを慎重に検討してください。組織が規制順守のニーズの対象である場合は、vSphere 環境でのセキュリティとコンプライアンス を参照するか、https://core.vmware.com/compliance にアクセスしてください。このサイトにはコンプライアンス キットと製品監査ガイドが含まれています。管理者および規制監査者は、NIST 800-53v4、NIST 800-171、PCI DSS、HIPAA、CJIS、ISO 27001 などの規制フレームワークの仮想インフラストラクチャを保護および証明します。

vSphere セキュリティ設定ガイド」では、次のアイテムのセキュリティについては説明されていません。
  • ゲスト OS やアプリケーションなど、仮想マシン内で実行されているソフトウェア
  • 仮想マシン ネットワーク経由で送受信されているトラフィック
  • アドオン製品のセキュリティ

vSphere セキュリティ設定ガイド」を「コンプライアンス」遵守の手段として使用することは意図されていません。「vSphere セキュリティ設定ガイド」は、コンプライアンス導入の初歩的ガイドとして参照するものであり、このガイドの手順を実行してもデプロイ環境がコンプライアンスを遵守しているとは限りません。コンプライアンスの詳細については、vSphere 環境でのセキュリティとコンプライアンスを参照してください。

vSphere セキュリティ設定ガイドについて

vSphere セキュリティ設定ガイド」では、スプレッドシート形式でセキュリティ関連のガイドラインを示しています。このガイドは、vSphere セキュリティ設定を変更する際に役立ちます。これらのガイドラインは、影響を受けるコンポーネントに基づいてタブにグループ化され、次の列の一部またはすべてが含まれます。

表 1. 「vSphere セキュリティ設定ガイド」のスプレッドシートの列
列見出し 説明

ガイドライン ID

セキュリティ設定またはセキュリティ強化の推奨事項を参照するための一意の ID。2 つの部分から成ります。前半の部分はコンポーネントを示し、次のように定義されます。

  • ESXi: ESXi ホスト
  • VM: 仮想マシン
  • vNetwork: 仮想スイッチ

説明

特定の推奨事項の簡単な説明。

議論

特定の推奨事項における脆弱性の説明。

構成パラメータ

該当する構成パラメータまたはファイル名(該当する場合)を入力します。

設定値

最適な状態または推奨値。値には、次の種類があります。

  • 該当なし
  • サイト固有
  • False
  • True
  • 有効にする
  • 無効
  • なし。または False

デフォルト値

vSphere で設定されているデフォルト値。

望ましい値はデフォルト値か

セキュリティ設定がデフォルトの製品設定かどうかを示します。

必要なアクション

特定の推奨事項を実行するアクションのタイプ。アクション タイプは次のとおりです。

  • 更新
  • 監査のみ
  • 変更
  • 追加
  • 削除

vSphere Client で場所を設定する

vSphere Client を使用して値を確認する手順。

デフォルトからの変更における機能への悪影響?

セキュリティ推奨事項を使用することによる潜在的な悪影響の説明(該当する場合)。

PowerCLI コマンドの評価

PowerCLI を使用して値を確認する手順。

PowerCLI コマンドの修正例

PowerCLI を使用して値を設定(修正)する手順。

vCLI コマンドの修正

vCLI コマンドを使用して値を設定(修正)する手順。

PowerCLI コマンドの評価

PowerCLI コマンドを使用して値を確認する手順。

PowerCLI コマンドの修正

PowerCLI コマンドを使用して値を設定(修正)する手順。

ホスト プロファイルを使用した設定の有効化

ホスト プロファイルを使用して設定を行うかどうかを指定します(ESXi ガイドラインにのみ適用)。

堅牢化

TRUE の場合、ガイドラインには、準拠する実装は 1 つしかありません。FALSE の場合、複数の設定によってガイドラインの実装を満たすことができます。多くの場合、実際の設定はサイト固有です。

サイト固有の設定

TRUE の場合、ガイドラインに準拠する設定は、展開されている vSphere に固有のルールや標準によって異なります。

監査の設定

TRUE の場合、サイト固有のルールを満たすため、リストの設定値の変更が必要なこともあります。

注: 上記の列は、時間の経過とともに必要に応じて変わることがあります。たとえば、「DISA STIG ID」、「堅牢化」、「サイト固有の設定」の列は、最近追加されました。「 vSphere セキュリティ設定ガイド」の更新に関する告知については、 https://blogs.vmware.com を確認してください。

ご使用の環境に、「vSphere セキュリティ設定ガイド」のガイドラインを盲目的に適用しないでください。十分に時間をかけて各設定を評価し、その設定を適用するかどうかについては十分な情報に基づいて決定してください。少なくとも、評価に関する列の手順を実行して、展開するセキュリティを確認してください。

vSphere セキュリティ設定ガイド」は、展開している環境にコンプライアンスを導入する際に役立つガイドです。国防情報システム局 (DISA) およびその他のコンプライアンス ガイドラインとともに「vSphere セキュリティ設定ガイド」を使用すると、vSphere セキュリティ制御を各ガイドラインごとの特徴的なコンプライアンスにマッピングできます。