「VMware セキュリティ強化ガイド」には、安全な方法で VMware 製品をデプロイして操作するための規範的なガイダンスが示されています。vSphere では、このガイドは「vSphere セキュリティ構成ガイド」(旧称「セキュリティ強化ガイド」)と呼ばれています。vSphere 8.0 Update 3 以降では、「vSphere セキュリティ構成ガイド」の情報(セキュリティ制御と呼ばれる)がこのガイドに含まれるようになりました。

セキュリティ制御により、vSphere のセキュリティのベスト プラクティスが提供されます。セキュリティ制御は、規制ガイドラインやフレームワークに直接対応していません。そのため、コンプライアンスを実現するための方法として使用しないでください。また、セキュリティ チェックリストとして使用するためのものではありません。

セキュリティには常に妥協があります。セキュリティ制御を実装すると、操作性、パフォーマンス、その他の運用タスクに悪影響を及ぼす可能性があります。セキュリティの変更を行う前に、VMware からのアドバイスであっても、他の業界からのアドバイスであっても、ワークロード、使用パターン、組織構造などを慎重に検討してください。

組織がコンプライアンスのニーズの対象である場合は、https://core.vmware.com/compliance を参照してください。このサイトにはコンプライアンス キットと製品監査ガイドが含まれています。管理者および規制監査者は、NIST 800-53v4、NIST 800-171、PCI DSS、HIPAA、CJIS、ISO 27001 などの規制フレームワークの仮想インフラストラクチャを保護および証明します。

これらの vSphere セキュリティ制御では、次のアイテムのセキュリティについては説明されていません。
  • ゲスト OS やアプリケーションなど、仮想マシン内で実行されているソフトウェア
  • 仮想マシン ネットワーク経由で送受信されているトラフィック
  • アドオン製品のセキュリティ

これらの vSphere セキュリティ制御を「コンプライアンス」遵守の手段として使用することは意図されていません。これらのセキュリティ制御は、コンプライアンス導入の最初の一歩を踏み出すためのものですが、セキュリティ制御を使用してもデプロイ環境がコンプライアンスを遵守しているとは限りません。コンプライアンスの詳細については、vSphere 環境でのセキュリティとコンプライアンスを参照してください。

ご使用の環境にセキュリティ制御を適用する場合は十分に注意してください。十分に時間をかけて各設定を評価し、その設定を適用するかどうかについては十分な情報に基づいて決定してください。少なくとも、評価に関するセクションの手順を実行して、デプロイするセキュリティを確認してください。

これらのセキュリティ制御は、デプロイしている環境にコンプライアンスを導入する際に役立ちます。国防情報システム局 (DISA) およびその他のコンプライアンス ガイドラインとともに使用すると、vSphere セキュリティ制御を各ガイドラインの特徴的なコンプライアンスに対応付けることができます。

セキュリティ制御の用語の定義

セキュリティ制御に関する以降のセクションでは、次の用語と定義が使用されます。

表 1. セキュリティ制御の定義
制御に関する用語 定義
インストールのデフォルト値 このバージョンの vSphere において、最初に製品をインストールする場合の制御のデフォルト値。
ベースラインの推奨値 他のガイダンスがない場合に、この制御を構成する方法に関する合理的な推奨事項。たとえば、コンプライアンス ガイダンスがこれらの推奨事項に優先する場合があります。
必要なアクション

特定の制御に推奨されるアクション。

変更:変更を行います。vSphere の外部における制御(ハードウェア設定など)については、このドキュメントでは常に、制御がデフォルトでは安全に設定されていないことを前提とし、構成の変更を推奨します。

監査:デフォルトが使用されていること、予期される値が存在すること、制御の例外が文書化されていることを確認します。デフォルトが推奨値である制御を監査する場合は、2 つの考え方が可能です。1 つ目として、制御を既知の監査対象にするには、パラメータを明示的に設定する必要があります。2 つ目として、すべての構成変更には時間をかけた「ケアとフィード」が必要であるため、安全なデフォルトがある場合は、それを使用して環境を簡素化できます。このドキュメントでは後者のアプローチを採用しますが、ユーザーは独自のコースを選択できます。

実装されていない制御はセキュリティに影響しません。このドキュメントでは、それらが「監査」と表記されていますが、削除は可能です。

デフォルト値を変更した場合の潜在的な機能上の影響 この変更によって問題が発生する可能性があるかどうかを示します。ほとんどのセキュリティ制御では、何らかのトレードオフが生じます。制御を変更する場合、その引き換えに要求される内容を示します。
PowerCLI コマンドの評価 制御の設定方法を決定する PowerCLI コマンドの例。
PowerCLI コマンドの修正例 制御を推奨値に設定する PowerCLI コマンドの例。