仮想マシンの暗号化により、仮想環境におけるデータセキュリティを強化する方法を学びましょう。本ガイドでは、VM暗号化がなぜ重要であるか、またVMが暗号化されているかの確認方法、およびVMware vSphereで暗号化を有効にする手順について説明します。
更新された 高橋明哲 アット 2025/03/19
物理的なデータセンターの時代には、データセキュリティにおいて二重保険的なアプローチを採用することが、比較的簡単で直感的な解決策でした。例えば、個々のファイルやディレクトリを暗号化するだけでなく、オンサイトのサーバーにフルディスク暗号化を適用することで、データセンターから修理や廃棄のために持ち出されるハードドライブが保護されるようにし、顧客データが漏洩する潜在的なリスクを排除しました。
ただし、今日のハイパーコンバージドインフラ(HCI)と仮想化の世界では、ワークロードは仮想的であり、動的で、モバイルであり、スケーラブルかつ脆弱です。これらすべてが、データセキュリティの維持をより難しくしています。
仮想化とHCIの普及により、ITチームはローカルおよびリモートの両環境で迅速にハイブリッドワークロードや仮想デスクトップ統合インフラストラクチャを展開できるようになりました。このような状況において、コンピューティング、ネットワーキング、管理ソフトウェアを単一のデバイスに統合したハイパーコンバージドシステムは本質的に「箱に入ったミニクラウド」と言えます。このアプローチがもたらす利点は疑いの余地もありません。
ただし、HCIデバイスが依然としてオンプレミスに設置されていても、そのワークロードは物理ハードウェア上ではなく、仮想マシン上で動作するケースが増えています。これはつまり、今日において真に保護すべき対象は物理マシン自体ではなく、仮想マシンおよびその内部に保存されているデータであるということです。
ITチームが直面する重大なセキュリティ上の課題のひとつに、仮想マシンが頻繁に電源のオン・オフを繰り返し、多くの場合静的なデータ状態にあることがあります。仮想マシンの電源をオフにすると、それは大きなファイルとなり、USBドライブにコピーされたり、ネットワークを通じて共有される可能性があり、これにより重大なデータ漏洩のリスクが生じます。
この解決策は一見単純ですが、仮想マシン自体を暗号化することにあります。理想的には、ハイパーバイザーとは独立したクライアント側の暗号化を実施し、暗号化キーを企業自身が管理できるようにすべきです。これにより、仮想マシンがパブリッククラウドや他の地理的場所など、別のHCIノードに移動した場合でも、企業は常に自らのデータを管理下に維持することができます。
VMwareで仮想マシンが暗号化されているかを確認するには、VMware vSphere/ESXiを使用している場合、以下の手順を実行できます:
1. vSphere Web クライアントを使用:
vSphere Web クライアントにログインします。確認する仮想マシンを選択します。
仮想マシンの概要タブで、暗号化ステータスを確認してください。仮想マシンが暗号化されている場合、「暗号化済み」と表示されます。
2. コマンドライン (vSphere/ESXi):
a. ESXiホストにSSHでログインします。
b. 「vim-cmd」 コマンドを使用して暗号化のステータスを確認する:
vim-cmd vmsvc/get.summary <VMID>
「<VMID>」をVMのIDに置き換えてください。出力で「encryption」プロパティを探します。
3. または、データストア上の仮想マシンの設定ファイル(“.vmx”)を確認してください:
cat /vmfs/volumes/<datastore>/<vm_folder>/<vm_name>.vmx | grep "encryption"
vSphere Webクライアントを使用してVMを暗号化するには、次の詳細な手順に従ってください:
前提条件
以下のことを確認してください:
1. vCenter Server があなたの ESXi ホストを管理しています。
2. vCenter にキーマネジメントサーバー (KMS) が構成されています。
3. 必要な暗号化権限(例: 「暗号化操作」)を保持しています。
4. VM が 電源オフされました。
vSphere Webクライアントを使用して仮想マシンを暗号化する手順:
1. キー管理サーバーを設定します(まだ設定していない場合)
vSphere Web クライアントにログインします。
メニュー > vCenter 設定 > 鍵管理サーバー に移動します。
KMSを追加し、KMSの詳細情報を入力して、信頼できる接続を確立します。
2. 仮想マシンに移動します。
インベントリから暗号化するVMを選択します。VMが実行中の場合は、右クリックして 電源 > ゲストOSのシャットダウンまたは電源オフを選択します。
3. VMの暗号化を有効にする
仮想マシンを右クリックし、[設定の編集]を選択します。[VMオプション]タブに移動し、下にスクロールして暗号化セクションまで進みます。
暗号化を有効に設定してください。
vCenterはKMSと通信して、VMの暗号化キーを生成および割り当てます。
4. ディスクを暗号化する(自動で実行されない場合)
[設定の編集]ダイアログ内で、仮想ハードウェアセクションを展開します。
仮想ディスクごとに:
ディスク設定をクリックします。
ディスクモードを暗号化に設定します。
変更内容を保存して暗号化処理を開始するには、[OK] をクリックしてください。
暗号化プロセスが完了したら、仮想マシンを右クリックして電源オンを選択してください。
VMが正しく起動することを確認します。次に、VMの概要タブに移動し、VMが暗号化されていることを示す暗号化フィールドを探します。
仮想マシンの暗号化に加えて、仮想マシンのバックアップもデータ保護において極めて重要な部分です。VMwareの仮想マシンを保護することは、機密データの保護、業務の継続性の確保、および潜在的な脅威からシステムの完全性を維持するために不可欠です。Vinchin Backup & Recovery は強力なVMware環境保護ソリューションであり、自動VMバックアップ、エージェントレスバックアップ、LAN/LAN-Freeバックアップ、サイト外コピー、即時復旧、効果的なデータ削減、クラウドアーカイブなどの高度なバックアップ機能を提供し、3-2-1のゴールデンバックアップ構造に厳密に従って、VMware環境におけるデータセキュリティと完全性を包括的に保護します。
さらに、データ暗号化とランサムウェア対策保護により、VMwareの仮想マシンのバックアップをダブルで保護することができます。また、簡単にVMwareホストから別の仮想プラットフォームへデータを移行することも、その逆も可能です。
現時点ではVinchinは暗号化された仮想マシンのバックアップをサポートしていませんが、暗号化されていない仮想マシンのバックアップは可能で、その手順はわずか4ステップです:
1. バックアップ対象を選択します。
2. バックアップ先を選択します。
3. バックアップ戦略を構成します。
4. 案件を確認して送信する。
Vinchin Backup & Recovery の 60日間のフル機能無料トライアル を今すぐ試して、VMwareデータを簡単に保護し、自動バックアップと高速復旧を実現してください!
1. Q: キー管理サーバー (KMS) とは何ですか?
KMS は暗号化キーを管理する外部サーバーです。VMware は暗号化キーを安全に管理するためにサードパーティの KMS を必要とします。
2. Q: 暗号化されたVMを復号化できますか?
はい、VM は必要な権限と KMS へのアクセスがある場合、ストレージ ポリシーを暗号化されていないポリシーに変更することで復号化できます。
仮想化とハイパーコンバージドインフラが現代のIT環境を支配する時代において、仮想マシンの保護はデータセキュリティの基盤となっています。仮想マシンを暗号化することで、ITチームはワークロードがオンサイト、リモートデータセンター、またはクラウドのいずれに配置されていても、機密データが安全であることを保証します。VM暗号化を重視する組織は、潜在的な脅威への露出を抑えるだけでなく、ますます仮想化が進む世界においてレジリエントで将来性のあるデータセキュリティのベストプラクティスにも合致しています。
共有する:
