サーバへのセキュリティ対策と負荷を抑えるしくみ

 日本でも本格的にはじまったサーバへのマルウェア対策。それを遅らせていたのはマルウェア対策を入れると、サーバが重たくなってしまうのではという懸念でした。

 しかしこれは、2011年に世界で初めてBitdefender社が実用化した中央スキャンシステム、セキュリティサーバ(SVA)により解決されており、現在このSVAは各仮想プラットフォーム向けに仮想アプライアンスの形で提供されています。

 まず一般的にアンチマルウェアを導入したマシンはどのような構成になるでしょうか。下図の左側がそれで、ファイルやメモリ、ネットワークを走査する「スキャン」機能、保持している脅威情報と照らし合わして「検査判定」。また脅威情報は定期的にインターネットから取得して「アップデート」が必要であり、それは「脅威定義DB(データベース)」に格納されます。

 一方、SVAを利用した場合の構成は上図の右側の2つで、マシンには「スキャン機能」のみが残され、残りをSVAに移管させることができます。いわゆる「重たくなると」嫌煙されている検査判定や定期的なアップデート処理はSVAで行われることになり、エンドポイントは大幅に軽量化されます。

 実際の処理の流れとしては、マシンからはファイルやURLなど検査オブジェクト(ハッシュ値)をSVAに送り、SVAにおいて最新の脅威情報DBを利用して検査判定を行い、結果をマシンに返信しています。

 このとき付随するメリットにキャッシュ効果があります。SVAにスキャン依頼をしたとき、それが既に他のマシンから依頼があって結果が出ている場合、検査照合の処理はスキップされ、即時に結果が返信されます。

 なおこのSVAは複数設置することができ、負荷分散や冗長性をもたせることができます。そして上記のキャッシュ情報も複数SVA間で共有されます。

 また具体的にエンドポイントでのリソース削減はどのぐらいになるのでしょうか。メモリとストレージに削減量については以下のとおりですが、加えてCPUの使用量、各マシンから行われる定期アップデートに伴うネットワークトラフィック量も削減されます。