コスト削減などで仮想化技術が伸長している状況下、仮想化環境のセキュリティにも関心が高まりつつある。データセンターでも仮想化技術が使われており、セキュリティは不可欠になっているのだ。仮想化のセキュリティについて、各社に聞いた。

■仮想マシンごとに導入必要

　ハードウェアのリソースが膨大になった昨今、仮想化はこれらハードの有効活用を目的に提唱されてきた。また、コンプライアンス重視によるシステムの集約・統合化の流れや、現在の物理マシンでは対応不可能なメインフレーム（レガシーOS）環境を延命することなどでも注目されている。

　こうしたなか、仮想化環境下でのセキュリティにも注目が集まり始めている。仮想化環境というと、物理マシンの上に複数の仮想マシン・イメージが構築されているのが通常の形態だ。このため、一見「物理マシンの守りを固めておけばよい」という錯覚にとらわれるが、「それでは仮想化環境を守ったことにはならない」とセキュリティベンダー各社は口を揃える。構築された仮想イメージには、個々に対策する必要があるのだ。

■セキュリティ各社の対応状況は

　一方で、仮想マシンはソフトウェア的に物理マシンと「同一」とみなしていいので、物理マシンとまったく同じソフトを導入することが可能だ。例えばトレンドマイクロでは、VMware、Hyper―Vと、一部のシトリックス製品をサポートしている。VMwareとHyper―Vでは、自社のサポート体制をHPに掲載するなどして、それを全面的に強調すらしている。トレンドマイクロのサポート体制では、物理・仮想両面で発生したトラブルにのみ対応するのではなく、サポート種別によっては、仮想環境限定のトラブルにも対応可能だ。「Windows Server 2003やVista、XPなどのOSをサポートしている（特定バージョンなど条件あり）。コスト面でも安く構築できるので、MSのOSしか使っていない企業にとってメリットになる」（船越洋明・マーケティング本部 アライアンスマーケティンググループ マネージャー）と自信満々。

　ただしHyper―Vについては、Windows Server 2008の付属機能として今年提供開始されたため、製品の成熟度からすると、未知数な部分もあるという。市場が大きく伸びていくことも予想されることから、現在は特定製品で検証を行っているそうだ。

　トレンドマイクロ独自の動きとしては、日立製作所の仮想化ソフト「Virtage（バタージュ）」への対応がある。日立のブレードサーバーは大型案件での導入が多い。他と同様のサポート体制を前面に押し出した結果、「トラブルがあった際に『とにかく相談できる』という印象を顧客に与え、導入案件も増えている」（船越マネージャー）という。

　一方のマカフィーでは、2004年から、VMwareの仮想化環境の保護を開始。同社は今年度第4四半期に販売する製品で、仮想化環境特有の課題に挑んでいる。

　通常だと、仮想マシンの中には、テスト用に一時的に作成された後、使わなくなったイメージなども存在する。仮想マシンがオフラインとなっていた場合、これらにはウイルス定義ファイルが適用されないことになる。その結果、この仮想マシンをオンラインにした瞬間からぜい弱性が生じることになる。同社が第4四半期に販売開始する、「VirusScan Enterprise for Offline Virtual Images」は、こうしたオフラインによるぜい弱性にいち早く目を向けた製品だ。

　ヴイエムウェアの調査によると、仮想マシンは物理サーバー1台に平均5種類のイメージが作られるという。「一時的に使ったイメージでも、きちんと管理していないと、一体いくつのイメージを作ったのか把握できなくなる問題も起こっている」（マカフィーの森谷晃・マーケティング本部 フィールドマーケティング部マネジャー）そうだ。この製品があればオフラインイメージをスキャンしたうえで定義ファイルをアップデートし、常時最新状態を維持できる。本製品は今後、マカフィーの企業向け製品群「VirusScan Enterprise」の一つとして提供されるほか、同じく第4四半期に仮想化環境向け統合セキュリティ製品「ToPS for Virtualization」でも提供される予定だ。同社ではVMwareのほか、Hyper―V、シトリックス XenSourceへの対応も計画している。

■VAにより導入が容易に

　ベンダーがOSとアプリケーションをセットにして導入する「バーチャルアプライアンス（VA）」での提供もすでに始まっている。VAはヴイエムウェアが推奨する、新たな提供形態。OSはベンダーの選択になってしまうものの、VMwareが動作するハードウェアならば導入可能だ。イメージをコピーしてしまえば、すぐにセキュリティの保たれた環境を構築することが可能。また、修正したOSイメージや、最新バージョンのアプリケーションをOSとセットにしてベンダーが提供する方式を採用している。通常のパッケージソフトなどと違い、ユーザーの管理工数が大幅に削減できるので、それが大きな優位点となっている。

　同様の製品として、トレンドマイクロではウェブ上の脅威から守る「InterScan Web Security Virtual Appliance」と、メールセキュリティである「InterScan Massaging Security Virtual Appliance」を提供する。マカフィーでも「Email and Web Security Virtual Appliance」を提供する予定。

　住商情報システムでは、米BlueLaneの「Virtual Shield（ヴァーチャルシールド）」を提供している。このVirtual Shieldはセキュリティパッチを代替適用する製品だ。セキュリティパッチはすぐに適用することが理想だが、「ベンダーでのパッチ検証に時間がかかったり、稼働中のサーバーに適用することが難しいなどの問題がある。結果的にパッチがなかなか適用できないという現実がある」（赤澤卓真・IT基盤ソリューション事業部 基盤インテグレーション第3部セキュリティソリューション第2チーム主任）。Virtual Shieldがベンダーのパッチを代替適用し、このギャップを埋める働きをするのだ。

　データセンターの運用効率化にも仮想化技術が使われているという。時代が「ITの所有」から「ITの利用」に移り変わるなか、SaaSによるサービス提供も増えている。マカフィーの森谷氏によれば、「すでに仮想化環境を狙った脅威も報告されている」とか。対応は急務だ。