一昨年ごろから、クラウド・コンピューティングという言葉が徐々に浸透し、盛り上がりをみせている。クラウド・コンピューティングを実現するうえで仮想化技術は欠かせない要素だが、仮想化特有のセキュリティ上の問題があるという。そうした特有の課題を解決できる製品が、国内でも続々と発表されている。ベンダー各社の動きを追った。
クラウド採用進む
仮想化は当たり前に
クラウドは必要なときに必要なだけお金を支払えば、すぐに利用できる。柔軟で拡張性の高いサービスは、ビジネスを迅速に立ち上げるのにメリットがある。国内企業でもパブリッククラウド採用の動きや、またセキュリティ上の懸念などから、自社のデータセンターからITリソースを利用するなどの、プライベートクラウドの構築が加速している。とはいえ、すべてがクラウドに移行するわけではなく、社内に設置している従来のシステムも合わせて、利用するクラウド環境をどのように守っていくかはユーザー企業にとって課題となっている。
クラウド環境構築のための要素の一つが仮想化技術だ。ある販社の担当者は、「仮想化はもはや当たり前になっている」という。現在では、大企業もとより、中小企業でも仮想化を採用する動きが出ている。
物理環境であろうと、仮想環境であろうと、すでに使用しているソフトのメーカーが検証し、サポートを表明しているものであるならば仮想環境でも動く。セキュリティ対策自体は、物理環境・仮想環境ともそう変わらないともいえるが、仮想環境は物理サーバーの上に複数の仮想サーバーが動いている状況であり、それを考慮する必要があるという。
仮想化環境を導入するユーザー企業自身も、セキュリティに関して取り組みを始めている現在、国内でも徐々に仮想環境独自の製品を提供するベンダーが増え始めている。
ベンダー各社の動きを見てみよう。日本IBMのISS事業部 ISSディベロップメント&ブランドの矢崎誠二部長は「クラウドはマルチテナンシーであり、物理サーバーをシェアハウスにたとえると、1軒の家の中にたくさんの人(仮想マシン)が住んでいる場合、一人に感染すると、一気に周囲に感染が広がってしまうのと同じ」という。トレンドマイクロの九里禎久・マーケティング本部長は「社会的責任や賠償請求も起こるリスクがある」と警鐘を鳴らす。
VMSafe対応製品続々発表
ハイブリッド環境対応製品も
仮想化ソフト「VMware」を提供するヴイエムウェアでも、仮想化特有の考慮点を解消するような取り組みを続けている。一例を挙げると、これまでぜい弱性をもっていた、ハイパーバイザーを管理できる特殊な仮想マシン「サービスコンソール」をなくす方向で開発を進めている。また、同社ではハイパーバイザーにアクセスして、セキュリティを高めていくための技術「VMSafe」を提供。VMSafe APIを活用することよりハイパーバイザー内、監視対象になる仮想サーバーなどの仮想ネットワークにおけるパケットフィルタリングできるといった、さまざまな機能を利用できるようになる。
国内でもこのVMSafe APIを利用した製品が発表され始めた。日本IBMでは、「IBM Virtual Server Security for VMware(VSS)」を昨年12月に発表した。
VMSafe APIの活用により、IDS/IPS、ファイアーウォールを提供する製品で、新たなぜい弱性が見つかった場合に、あたかもパッチがあたっているような状況をつくり、システムを保護する「Virtual Patch」により、「亜種による攻撃にも基本的に対応できる」(日本IBMの矢崎部長)という。
さらに、仮想サーバーに侵入したルートキットによるハイパーバイザーの乗っ取りを防御する。一方、「仮想環境では、これまでサーバー、ネットワークと分かれていた管理者の管理権限が広がる」(矢崎部長)とコンプライアンス上のリスクを挙げる。VSSでは、仮想マシンを移動させるVMotionといったイベントの発生や、仮想マシンの状態が変化した場合には、職権乱用やオペレーション・ミスではないかどうかを、ログによって記録をとることが可能だ。
クラウドがこれからの主流になったとしても、ユーザー企業はすべてをクラウドに移行するわけではなく、オンプレミスとクラウドの双方を連携させた、ハイブリッドなシステムとして運用するケースがほとんどだろう。トレンドマイクロでは、物理・仮想・クラウドが連携した環境のセキュリティを一つのアーキテクチャで実現するソリューション「Trend Micro Deep Security 7.0」を今年発表した。サーバーを保護する「Deep Security エージェント」、仮想サーバー特有の脅威から守る「Deep Security Virtual Appliance」と、物理・仮想化・クラウド環境に導入したすべてのエージェントとVirtual Applianceを一元管理する「Deep Security マネージャ」の三つで構成されている。「Deep Security Virtual Appliance」でも、VMSafe APIに対応。何らかの理由で仮想サーバーにエージェントを乗せられない場合も、Virtual Applianceの導入環境に仮想サーバーを移植すれば保護することができる。
今後も仮想化に関連したさまざまな商材が出てくることで、仮想環境、またそれを活用したクラウドへのセキュリティへの関心が高まりそうだ。
