仮想アプライアンスあるいは組み込みITの記憶…（その2）|企業クライアント戦略|ブログ|Computerworld

▲合計1,800円弱でタブレットPCとiPhone（音声のみ）の運用をスタート

皆さん、こんにちは。ひょんなことからソニーのタブレット（Tablet Pシリーズ）を購入し、ついでに携帯電話の契約を見直し中の小池です。

とりあえずタブレットは日本通信のイオン限定パック（100kbps制限で1カ月980円）で運用、同じく日本通信のSIMで使ってたiPhoneをドコモの音声契約のみでしばらく使ってみようかと思ってます。合計1,800円弱という激安コストでの運用でどこまで実用に耐えうるかは、また後日レポートさせて頂きます。

さて前回に引き続き、今回も仮想アプライアンスについてのお話を…。

仮想アプライアンス環境では、ユーザが使用するOSはハードウェア上の物理リソース（物理デバイス）に直接アクセスするのではなく、VMM（Virtual Machine Monitor）経由で物理リソースにアクセスします（これは一般的な仮想マシン環境と同じです）。

仮想アプライアンスの面白いところは、セキュリティ性や管理性を高いレベルで維持しつつ、パフォーマンスへの影響を最小限に抑えるために、ユーザOSに直接アクセスさせるデバイスと、仮想化してVMM経由でアクセスさせるデバイスとを明確に区別し、さらにVMM内（管理ドメイン内）に仕込まれたアプリケーションとユーザOS内に組み込まれたエージェントがセキュアな経路を使用して通信を行うことで、非常に高度なセキュリティ/管理ポリシーの実装を可能にするところです。

前回紹介したようにネットワーク・インタフェース・デバイスを仮想化し、VMM側でゲストOSのネットワーク・アクセスを制御する場合を考えてみましょう。

インテルAMTでも、管理エージェントを監視して、必須エージェントが動作していなければネットワーク・アクセスを遮断したり、あるいは特定のポートやアドレスへのアクセスを制限したりといった実装は可能です。しかしアクセス制御に関する初期設定や設定変更はネットワーク経由で管理サーバから行う必要があり、さらにファームウェアを使った制御であるためにあまり多くの設定を細かく切り替えながら実行するといった運用には向きません。

これに対して仮想アプライアンスでは、ユーザ環境のチェックを行うエージェントをOS内に配置し、例えば最新のセキュリティ・パッチの適用状況やウィルス・パターンファイルのバージョンなどをチェックさせ、一定の基準を満たしていない場合はデータベース・サーバやファイルサーバの置かれた企業ネットワークには接続させず、代わりにITの管理するメンテナンス用途のネットワークに接続させ、そこで必要なパッチ適用などを行ったうえで通常ネットワークに接続させる、といった"検疫ネットワーク"を専用のネットワーク機器を導入することなく実現することまで（理論上は）可能になるのです。

今回お話を伺ったソフトウェア・ベンダーさんのソリューションが具体的にどのような実装をされているのかはわかりませんが、仮想化環境をセキュリティや管理のために積極的に利用する取り組みということで私も大いに注目しています。

企業クライアントにおける仮想化技術の活用については、みなさんもぜひ情報収集を続けられることをオススメします。