仮想アプライアンスあるいは組み込みITの記憶…（その１）|企業クライアント戦略|ブログ|Computerworld

▲街もクリスマス仕様になってきました

さて、今回は久しぶりに少し技術的なお話をしてみようと思います。皆さんご存じの通り、私は現在、インテル・アンチセフト・テクノロジー（AT）やインテル・アイデンティティ・プロテクション・テクノロジー（IPT）といった要素技術の技術支援担当ということで、PCメーカーやソフトメーカーの皆さんとお仕事をすることが多いのですが、これらに加え、セキュリティ全般に関する技術マーケティングという役割も担っています。

先日、こちらの関係でとあるソフトメーカーの製品説明会に参加した際、数年前に担当していた仮想アプライアンス（Virtual Appliance:VA）の記憶を呼び起こされるようなお話がありました。「もしかしたら皆さんのお役に立つのでは？」と思い、今回は仮想アプライアンスに関する説明をします。あくまでもインテルが提案していた仮想アプライアンスに関するお話であり、特定の製品の実装に基づくものではありませんので、予めご了承下さい。

仮想アプライアンス――あるいは組み込みIT（Embedded IT:EIT）――とは、インテルが仮想化環境をPCの管理性やセキュリティ性能の向上のため積極的に活用した実装であり、従来のソフトウェア・ベースの製品とは一線を画す強固なセキュリティを実現するソリューションです。

一般的なクライアント管理アプリケーションはOS上のサービスとして動作し、OSがロードされた後の環境を監視・管理します。これに対して仮想アプライアンスはOSとハードウェアの間に管理機能を配置することで、例えばOSカーネルに改ざんが加えられるような攻撃に対しても有効に機能します。

一般的な仮想マシン環境では、VMM（Virtual Machine Monitor）がプラットフォーム上の殆ど全ての物理デバイスを仮想化し、ゲストOSはVMMが提供する仮想デバイスドライバ経由で実際の物理ハードウェアにアクセスします。これに対して仮想アプライアンス環境では、専用のVMMが特定のデバイス（例えばネットワーク・インタフェース・デバイスなど）だけを仮想化し、それ以外の物理デバイスについてはゲストOSからの直接アクセスを許可します。こうすることにより、仮想化によるパフォーマンスへの影響を最小限に抑えつつ、ゲストOSの物理環境へのアクセスを、よりハードウェアに近いところで制御することが可能になるのです。

▲一般的な仮想環境とLightweight VMM環境の違い

仮想アプライアンスで使用するVMMは一般的なVMMとは異なり、限定的な物理デバイスのみを仮想化することから、Lightweight VMMと呼ばれることもあります。

次回は、このような実装によって可能になるセキュリティ機能について詳しくお話ししたいと思います。