まず始めに、インフラストラクチャのすべての脆弱性を把握するために、セキュリティ評価を実行します。セキュリティ評価は、セキュリティ監査の一環として行われます。セキュリティ コンプライアンスなどの制度と遵守状態の両方を対象とします。
セキュリティ評価とは、通常、組織の物理インフラストラクチャ(ファイアウォール、ネットワーク、ハードウェアなど)の脆弱性と欠陥を識別するスキャンを指します。セキュリティ評価は、セキュリティ監査と同じではありません。セキュリティ監査には、物理インフラストラクチャの確認だけでなく、セキュリティ コンプライアンスなどのポリシーおよび標準操作手順など、他の要素も含まれます。監査を行うと、システムで発生した問題を解決する手順を判断できます。
セキュリティ監査を実施する場合は、以下の一般的な問題点を把握する必要があります。
- 組織でコンプライアンスの遵守が義務付けられているか。義務付けられている場合、遵守する必要があるコンプライアンス。
- 監査の間隔。
- 内部自己評価の間隔。
- 以前の監査結果を確認したか。
- 監査にサードパーティの監査組織を利用しているか。その場合、仮想化の最適レベル。
- システムおよびアプリケーションに対して脆弱性スキャンを実行するか。スキャンはどのタイミングで、どれくらいの頻度で実行するか。
- 内部のサイバーセキュリティ ポリシー。
- 監査ログをニーズに合わせて設定しているか。vSphere の監査ログを参照してください。
何から始めれたらいいか、具体的な案や指示がない場合は、とりあえず次の方法で vSphere 環境を保護できます。
- 最新のソフトウェアおよびファームウェアのパッチを適用して、環境を最新の状態に保つ
- すべてのアカウントにおいて適切なパスワード管理および検疫を維持する
- ベンダー承認のセキュリティ推奨事項を確認する
- VMware のセキュリティ構成ガイド(vSphere セキュリティ制御リファレンス)を参照する
- NIST、ISO などのポリシー フレームワークから容易に使用できる実証済みガイダンスを用いる
- PCI、DISA、FedRAMP などのコンプライアンス フレームワークのガイダンスを実行する