PCI DSSの仮想化セキュリティ・ガイドラインが示す「11の仮想化リスク」|セキュリティ・マネジメント|トピックス|Computerworld

PCI DSSの仮想化セキュリティ・ガイドラインが示す「11の仮想化リスク」

仮想化は新たなリスクを生むことを認識し、運用管理ルールの改正を

(2011年12月06日)

　PCI SSCは今年6月、仮想化環境に求められるデータ・セキュリティ実装の要件をまとめた「PCI DSS Virtualization Guidelines」を公開した。ネットワンシステムズフェローでPCI SSC PO Japan連絡会会長の山崎文明氏は、12月5日に開催された同ガイドラインの勉強会において、仮想化環境に特有のセキュリティ・リスクへの対処には3つのポイントがあると説明した。

仮想化環境に推奨／要求されるセキュリティ実装のガイドライン「PCI DSS Virtualization Guidelines」

　クレジット・カード業界におけるデータ・セキュリティ保護のためのシステム実装要件／基準である「PCI DSS（PCI Data Security Standard）」。その策定団体であるPCI SSC（Payment Card Industry Security Standards Council）は今年6月、仮想化環境に要求されるセキュリティ実装のガイドライン「PCI DSS Virtualization Guidelines」を公開した。

　このガイドラインは、PCI SSC内の専門部会であるVirtualization SIG（Special Interest Group）で検討されてきた内容をとりまとめたものだ。ネットワンシステムズフェローでPCI SSC PO Japan連絡会会長を務める山崎文明氏は、サーバ仮想化技術の採用が進む中で、PCI SSC会員からもこうした仮想化環境向けのセキュリティ・ガイドラインが待ち望まれていたと語る。「やっと出た、という感じ」（山崎氏）。

　PCI DSSの付加的な文書という位置づけの同ガイドラインでは特に、仮想化環境特有のセキュリティ・リスクに絞り込んで、その対策のための推奨事項、考慮すべきことが示されている。そこで強調されていることは、「仮想化は便利だが、新たなリスクももたらされる」という事実だと山崎氏は説明した。

　例えば、テスト用途で作成されたものの、その後使わなくなってそのまま放置された仮想サーバがその1つに挙げられる。「長期間（休止状態で）放置された仮想サーバにはセキュリティ・パッチが適用されておらず、セキュリティ・ホールが存在する。こうした放置サーバは、これまでもしばしばセキュリティ監査で“発見”されていたが、仮想サーバの場合は物理サーバよりも見つけにくい」（山崎氏）。そのほかにも、構成／配置変更が容易に行えるため発生しやすくなる設定ミス、仮想サーバ間の不正アクセス攻撃やマルウェアの伝播、そしてハイパーバイザに対する不正アクセスや脆弱性攻撃などのリスクも増える。

同ガイドラインでは、仮想化によって新たにもたらされる11のリスクが示されている

　このようなリスク認識に基づき、同ガイドラインでは仮想化を実践するうえで推奨される3つのポイントを挙げている。

　1つ目のポイントは、原則として「混合モード（Mixed Mode）」での仮想化環境の使用を避けるということである。混合モードとは、同一のハードウェア／ハイパーバイザ上で、セキュリティ・レベルが異なる複数の仮想サーバが稼働する状態を指す。先に述べたように、同一ハイパーバイザ上の仮想サーバ間では「リスクが伝播する」おそれがあるため、混合モードでは使用するべきではないというのが結論だ。

　「そのほかにも重要なシステム・コンポーネント、例えばログを生成する仮想サーバとログを記録する仮想サーバ、暗号化を行う仮想サーバと暗号鍵を保存する仮想サーバを物理的に分離するべき」（山崎氏）

混合モードでの使用を避け、セキュリティ・レベルに応じて「物理的に」実行環境を分離するというのが、同ガイドラインにおける1つ目の推奨事項。マルチテナントという、仮想化のメリットの1つは失われるが、それでも実行する意義は大きいだろう

　2つ目のポイントはハイパーバイザのセキュリティ管理である。山崎氏は、ハイパーバイザには仮想化環境のあらゆる権限が集中するため、特にハイパーバイザにアクセスできるアカウント管理を慎重に行う必要があると指摘する。「仮想化環境では、ネットワーク管理とシステム管理の境界が曖昧になる。大げさに言うと、データセンターを1人で牛耳れる強力な権限がある」（山崎氏）。

　そのためガイドラインでは、最低でも「サーバ管理とネットワーク管理」「セキュリティ管理」「ハイパーバイザと、仮想サーバのOS管理」の3つの職務分掌を行い、その役割に応じたアクセス制御を実施することを推奨している。「さらに、ハイパーバイザ管理者に対しては2要素認証を導入するなど、通常のサーバ・セキュリティ対策よりも高いレベルの対策を行うべき」（山崎氏）。

　最後のポイントとして、ガイドラインでは、仮想化環境の特性とさまざまなリスクを認識したうえで運用ルールを作成し、周知することを挙げている。イメージ・ファイルとして保存される仮想サーバは、物理サーバと比べてコピーや移動が非常に容易であり、重要な情報が「サーバごと」盗み出されてしまう可能性も大きくなる。そのためガイドラインでは、稼働中／停止中の仮想マシン・イメージ、またそのバックアップを、暗号化やアクセス管理などで適切に管理するよう求めている。「仮想化環境における構成管理、変更管理のルールはまだ定まっていないケースが多く、改めて管理手順を策定する必要があるのでは」（山崎氏）。