日本でも本格的にはじまったサーバへのマルウェア対策。それを遅らせていたのは負荷増大への懸念でした。しかしこれは2012年に世界で初めて発表された無償のセキュリティサーバ(SVA)により解決されています。SVAは各仮想プラットフォーム向けに仮想アプライアンスの形で提供されています。
まず通常はセキュリティ対策導入により、マシンはどのような構成になるでしょうか。下図は左側が従来の構成で、右側がSVA利用時の構成です。
インストールされるエージェントには、ファイルやメモリ、ネットワークを走査する「スキャン」、保持している脅威情報と照らし合わしての「検査判定」。また脅威情報は定期にインターネットから取得して「アップデート」が必要であり、それはローカルの「脅威定義データベース(DB)」に格納されます。
SVAを導入すると、マシンには「スキャン機能」のみが残され、残りはSVAに移管させることができます。いわゆる重たいとされている検査判定や定期的なアップデート処理はSVAで行われることになり、エンドポイントは大幅に軽量化されます。
実際の処理の流れとしては、マシンからはファイルやURLなど検査オブジェクト(ハッシュ値)をSVAに送り、SVAにおいて最新の脅威情報DBを利用して検査判定を行い、結果をマシンに返信します。
このとき付随するメリットにキャッシュ効果が生まれることがあります。SVAにスキャン依頼をしたとき、それが既に他のマシンから依頼があって結果が出ている場合、検査照合の処理はスキップされ、即時に結果が返信されます。
なおこのSVAは複数設置することができ、負荷分散や冗長性をもたせることができます。そして上記のキャッシュ情報も複数SVA間で共有されます。
また具体的にエンドポイントでのリソース削減はどのぐらいになるのでしょうか。メモリとストレージに削減量については以下のとおりですが、加えてCPUの使用量、各マシンから行われる定期アップデートに伴うネットワークトラフィック量も削減されます。
