【解説】
「インテルTXT」――セキュリティ機構が“売り”の仮想化応用技術

システム全体のセキュリティ強化を支援する仮想化応用技術

（2008年07月02日）

ここにきて、「VMware」や「Xen」に対抗する技術として、既存の仮想化資産を引き継ぎながら、新たなインフラストラクチャへと発展する可能性を秘めた新世代の仮想化技術がいくつか登場し始めている。本稿では、そのうち、インテルの次世代仮想化応用技術「インテルTXT」を取り上げ、各技術の仕組みや特徴、メリット、課題などを探る。

大原久樹
インテル

インテルTXT誕生の背景

　インテルTXTを理解するには、まず、インテルが提供するハードウェアによる仮想化支援技術と、業界標準化団体のトラステッド・コンピューティング・グループ（TCG）において定義される関連技術を知っておく必要がある。

　2005年に発表された、インテルバーチャライゼーション・テクノロジー（VT-x）によってハードウェアによる仮想化支援がサポートされてから、PCクライアントとサーバの仮想化環境は大きく変わった。例えば、Linuxでは、Xenによる完全仮想化によりWindowsをゲストOSとして実行できるようになり、KVMやlguestといったインテルVTを前提とする新しい仮想マシン・モニタ（VMM）がLinuxカーネルに取り込まれるようになった。また商用VMMでは、従来の仮想化手法に加えてVT-xを用いることで、サポート対象となるゲストOSの多様性を深める一助となった。

　セキュリティの観点から見ると、VT-xを用いてゲストOS間のアドレス空間を分離することで、よりセキュアなゲストOSを実現できるようになったと言える。アドレス空間は、通常、仮想アドレスから物理アドレスへの変換に用いられるページ・テーブルによって管理されるが、仮想化環境の場合は、VMM内で管理されたページ・テーブルによってゲストOSのアドレス空間が分離される。このように、VMMはゲストOSのアドレス空間の“防波堤”として、セキュリティ上、重要な役割も担っている。

　VMMにおける主要なセキュリティの課題としては、(1)DMA（Direct Memory Access）を用いたドライバの脆弱性、(2)VMMそのものの脆弱性の可能性、の2つが挙げられる。

　ネットワークやハードディスクのように性能が求められる物理デバイスは、通常、CPUを介さず物理メモリに直接アクセスするDMAの仕組みを用いている。DMAでは仮想アドレスではなく物理アドレスを使うため、DMAを用いたドライバやVMMに脆弱性があると物理アドレスに自由にアクセスできてしまう。だが、2007年8月にダイレクトI/O対応インテルバーチャライゼーション・テクノロジー（VT-d）が発表されたことで、ゲストOSにとっての物理アドレスからシステムの真の物理アドレスへの変換はチップセット内で自動的に行うことが可能になった。このように、VT-xとVT-dを用いることで、ゲストOSはI/Oを含めてメモリ空間の分離を実現し、ゲストOS内に仮に脆弱性があったとしても、他のゲストOSが影響を受けることはなくなった。

　しかしながら、肝心のVMMに脆弱性があった場合、VMM上のすべてのゲスト・ドメインが影響を受けるおそれがある。通常のウイルスやマルウェアでも同様だが、脆弱性への対策として重要なことは、改竄の検出である。ソフトウェアの改竄を検出する方法としては、ハッシュ関数を用いて、利用中のソフトウェアと正常なソフトウェアのそれぞれのハッシュ値を比較することが一般的に知られている。ハッシュ関数は電子署名などにも用いられていて、ハッシュ関数がセキュリティ的に強固であればあるほど異なるデータに対して同じハッシュ値を出力することがまれになる。VMMの場合、改竄を検出するためにVMMのハッシュ値を取得しようとしても、VMMの支配下にあるゲストOSからの検出は当然不可能であるし、ソフトウェアによるVMMの検出はそのソフトウェア自身が改竄される危険性が高い。したがって、VMMが立ち上がる前のハードウェアによるサポートがVMMの改竄検出には不可欠であり、この基盤技術を提供するのがインテルTXTである。

　以下、インテルTXT対応のハードウェアが、何をどのように検査（メジャーメント）することで正しい検査を保証（トラストチェーン）するのかについて述べる。

｜1｜2｜3｜4｜ > 次のページへ