まず始めに、インフラストラクチャのすべての脆弱性を把握するために、セキュリティ評価を実行します。セキュリティ評価は、セキュリティ監査の一環として行われます。セキュリティ コンプライアンスなどの制度と遵守状態の両方を対象とします。

セキュリティ評価とは、通常、組織の物理インフラストラクチャ(ファイアウォール、ネットワーク、ハードウェアなど)の脆弱性と欠陥を識別するスキャンを指します。セキュリティ評価は、セキュリティ監査と同じではありません。セキュリティ監査には、物理インフラストラクチャの確認だけでなく、セキュリティ コンプライアンスなどのポリシーおよび標準操作手順など、他の要素も含まれます。監査を行うと、システムで発生した問題を解決する手順を判断できます。

セキュリティ監査を実施する場合は、以下の一般的な問題点を把握する必要があります。

  1. 組織でコンプライアンスの遵守が義務付けられているか。義務付けられている場合、遵守する必要があるコンプライアンス。
  2. 監査の間隔。
  3. 内部自己評価の間隔。
  4. 以前の監査結果を確認したか。
  5. 監査にサードパーティの監査組織を利用しているか。その場合、仮想化の最適レベル。
  6. システムおよびアプリケーションに対して脆弱性スキャンを実行するか。スキャンはどのタイミングで、どれくらいの頻度で実行するか。
  7. 内部のサイバーセキュリティ ポリシー。
  8. 監査ログをニーズに合わせて設定しているか。vSphere の監査ログを参照してください。

何から始めれたらいいか、具体的な案や指示がない場合は、とりあえず次の方法で vSphere 環境を保護できます。

  • 最新のソフトウェアおよびファームウェアのパッチを適用して、環境を最新の状態に保つ
  • すべてのアカウントにおいて適切なパスワード管理および検疫を維持する
  • ベンダー承認のセキュリティ推奨事項を確認する
  • VMware のセキュリティ構成ガイド(vSphere セキュリティ設定ガイドについて)を参照する
  • NIST、ISO などのポリシー フレームワークから容易に使用できる実証済みガイダンスを用いる
  • PCI、DISA、FedRAMP などのコンプライアンス フレームワークのガイダンスを実行する