仮想マシンを保護するには、ゲスト OS に継続的にパッチを適用し、物理マシンと同じように仮想環境を保護します。不要な機能を無効にして、仮想マシン コンソールの使用を最小限に抑え、ベスト プラクティスに従うことを検討してください。

ゲスト OS の保護

ゲスト OS を保護するには、最新のパッチを使用し、適切な場合はアンチスパイウェアやアンチマルウェア アプリケーションも使用するようにします。ゲスト OS ベンダーのドキュメントや、書籍またはインターネットで入手できる、そのオペレーティング システム関するその他の情報を参照してください。

不要な仮想マシン機能の無効化

不要な機能が無効になっていて、潜在的な攻撃ポイントが最小限に抑えられていることを確認します。使用頻度の少ない機能の多くがデフォルトで無効になっています。不要なハードウェアを削除し、仮想マシンとリモート コンソール間の Host-Guest FileSystem (HGFS) やコピー アンド ペーストなどの特定の機能を無効にします。

仮想マシン内の不必要な機能の無効化を参照してください。

仮想マシン テンプレートおよびスクリプトによる管理の使用

仮想マシン テンプレートを使用すると、要件に合わせてオペレーティング システムを設定し、同じ設定でその他の仮想マシンを作成できます。

初期導入後に仮想マシンの設定を変更する場合、PowerCLI スクリプトを使用することを検討してください。このドキュメントでは主に、vSphere Client を使用してタスクを実行する方法について説明します。使用中の環境の一貫性を維持するには、vSphere Client ではなくスクリプトの使用を検討してください。大規模環境の場合、仮想マシンをフォルダにグループ化してスクリプトを最適化できます。

テンプレートの詳細については、仮想マシンをデプロイするためのテンプレートの使用およびvSphere の仮想マシン管理ドキュメントを参照してください。PowerCLI の詳細については、VMware PowerCLI のドキュメントを参照してください。

仮想マシン コンソールの使用の最小化

仮想マシンのコンソールには、物理サーバーで行う監視と同じように、仮想マシンで監視を行う機能があります。仮想マシン コンソールにアクセス可能なユーザーは、仮想マシンの電源管理とリムーバブル デバイスの接続制御にアクセスできます。そのため、仮想マシン コンソールへのアクセスによって、仮想マシンに悪意のある攻撃がが発生する可能性があります。

仮想マシンの UEFI セキュア ブートの検討

UEFI ブートを使用するよう仮想マシンを設定できます。オペレーティング システムがセキュア UEFI ブートをサポートしている場合は、このオプションを仮想マシンに対して選択し、セキュリティを強化できます。仮想マシンの UEFI セキュア ブートの有効化または無効化を参照してください。

Carbon Black Cloud Workload 使用の検討

Carbon Black Cloud Workload をインストールして使用することで、リスクの特定、攻撃の防止、異常なアクティビティの検出が可能になります。Carbon Black Cloud プラットフォームに組み込まれた AppDefense 機能により、Carbon Black Cloud Workload は AppDefense の後継製品です。