仮想環境でのセキュリティを考える

ベストプラクティスを実践し、仮想マシン・プラットフォームをマルウェアから守れ

（2007年09月07日）

仮想化技術が企業に本格的に普及するにつれて、仮想環境においてもセキュリティの重要性がクローズアップされるようになってきた。本稿では、仮想環境におけるセキュリティのベストプラクティスを紹介するとともに、この分野の最新技術動向をお伝えすることにしたい。

デブ・ラドクリフ
Network World米国版

　米国ニュージャージー州に本拠を置くINTTRAは、世界最大規模の海運団体によって設立された電子商取引ベースの海上ロジスティックス・プロバイダーである。同社では、数年前から、バックエンドのIBMメインフレームとシトリックス・システムズのサーバによって構成されるセキュアな仮想環境を実現しており、現在は主にIBMブレード・サーバ上で仮想Linuxマシンを稼働させている。同社の「New Data Center（NDC）」の基盤となっているのは、インテル・プラットフォーム上で稼働するヴイエムウェアの仮想化技術である。

「どんな仮想マシン上でもベストプラクティスを実践することは可能だ。しかしながら、それは最終的に、仮想マシン・プラットフォーム・レイヤ自体に全幅の信頼を置くということを意味する」と話す、INTTRAのジョン・ドベネデット氏

　INTTRAのIT担当バイスプレジデント、ジョン・ドベネデット氏は、仮想データセンター環境のセキュアさを保ちながら、立証されたベストプラクティスをエミュレートすることは不可能ではないと見ている。

　しかしながら、今のところは、仮想Webサーバを「DMZ（Demilitarized Zone：外部ネットワークと内部ネットワークの境界に位置するファイアウォールの第3セグメント）」の外側に置いたり、管理が難しいエンドポイントに仮想マシンを設置したりといったリスクを冒そうとまでは思っていない。

　「どんな仮想マシン上でもベストプラクティスを実践することは可能だ。しかしながら、それは最終的に、仮想マシン・プラットフォーム・レイヤ自体に全幅の信頼を置くということを意味する」と、ドベネデット氏は仮想環境に対するセキュリティ上の不安を隠そうとしない。

　ちなみに、仮想マシン・プラットフォーム・レイヤとは、ハードウェアと仮想マシン環境（OSを含むすべてのデバイス・ドライバ）の間に位置する中間的なレイヤで、ハイパーバイザ、仮想カーネル、仮想マシン・モニタなどとも呼ばれる。

　現時点ではまだ、このレイヤを悪用した例が報告されているわけではないが、「RedPill」のような仮想マシンを認識するマルウェアや、「BluePill」のような仮想マシンを悪用するルートキット（クラッカーがネットワーク経由で不正行為を行うために利用するツールの総称）はすでに知られており、ドベネデット氏がこの部分のセキュリティを危惧するのも無理からぬところだろう。専門家たちも、「ハイパーバイザは、仮想マシンを狙うマルウェア・ライターが侵入を試みる際のターゲットになる」と警告している。

　こうした仮想環境では、セキュリティに関するベストプラクティスが必要不可欠となる。物理マシンだけでなく、仮想マシンにも十分な管理と保護対策を講じる必要があるわけだ。今こそ、ネットワーク上の仮想マシンへの不正なトラフィックに目を光らせ、新手のアタックウェアを寄せ付けない高度なセキュリティを備えた仮想マシンの構築に努めなければならないのである。

｜1｜2｜3｜4｜ > 次のページへ