対外向けサービスとバックオフィスの両方をエンジニア視点で綴ります

第05話 勝手VMは放置すべきか否か?

»

 「勝手VM」とは、情報システム部が管理していない、エンジニアが勝手にインストールして使用している仮想マシン(バーチャルマシン)のことです。Linux上で動くKVMやWindowsのWindows Virtual PCなどがあります。

 これらの仮想マシンはエンジニアにとって、サーバ検証やプログラムの作成に非常に便利なものです。仮想なので失敗してもすぐに作り直せる上、実機を用意するわけではないので工数の削減にもなります。さらに実機購入の費用もかかりません。

 しかし、そんな便利な仮想マシンも、情報システム部にとっては、脅威な存在です。ちょっと気の付くエンジニアであれば、社内ネットワークとは別のネットワークを構築して仮想サーバを動作させることができますが、そうでない場合、社内ネットワークと同じ場所で稼働させてしまうことがあります。

 今回は、社内ネットワーク上に勝手に構築された仮想マシンがもたらす影響について考えてみます。

■インターネット側からのアクセス

 通常、社内ネットワークはプライベートIPアドレスを用いて構築されていることがほとんどなので、この心配はあまりありません。もし仮想マシンにグローバルアドレスを割り当てられるような環境であった場合、まずはそちらを優先に改善する必要があります。

■社内ネットワーク上に不意に設置されるDHCPサーバ

 私が経験した中でも断トツの不利益がコレです。すでに社内ネットワーク上で運用しているDHCPサーバがある場合、さらにややこしいことになります。

 いわゆる野良DHCPサーバが出来上がるためで、昔からトラブルとなる原因でも上位を占めているかと思います。もちろん冗長化などが目的できちんと設計されて管理していれば別ですが、検証目的で構築した仮想マシンでDHCPサーバが動作していることに気付かないと、社内ネットワークで混乱を招いてしまいます。

 知らない間に、気付いたら社内の端末がネットワークに接続できない、仕事にならないといった影響が出る場合があります。しかも、情報システム部で管理していない仮想マシンなので、解決までに時間を要してしまう可能性が高いです。

■管理できていないサーバ

 起動していたサーバがメールサーバであった場合、予期しないサーバから予期しないメールが配信され、大きな脅威になり得ます。特に情報漏えいの手段を与えてしまうことにもなりかねないため、特に注意が必要です。

 Webサーバの場合、多くはインターネット側からアクセスはできない環境であるかもしれませんが、社内の情報を閲覧させる必要のない部署にまで公開させてしまう可能性があります。直接の損害となる影響はないかもしれませんが、間接的に企業にとっての損害となる場合もあるため注意が必要です。

---

 多くの企業では、許可されていない端末やデバイスを社内ネットワークに接続することを禁じています。IT系の情報を守ることは企業にとって大きな意味を持ち、それに対する費用をかけることは重要なことです。

 しかし、企業が検知していない端末になり得る仮想マシンを、社内ネットワーク内にエンジニアの判断で勝手に稼働させることは、これら企業の活動の真逆をいく行為です。

 エンジニアの業務にとって非常にメリットの高い仮想マシンですが、これらを利用する場合は、きちんと許可を得て、管理をしてもらったうえで利用していくように心掛けたいものです。

Comment(1)

コメント

似非管理者

DHCPあるあるwww
ネットワークをちゃんと理解していない奴には禁止で。

コメントを投稿する