仮想環境でのセキュリティを考える

ベストプラクティスを実践し、仮想マシン・プラットフォームをマルウェアから守れ

（2007年09月07日）

仮想マシンのベストプラクティス

　Network World米国版が読者を対象に今年6月に実施した調査によると（有効回答者数707人）、「仮想化によってセキュリティ・リスクが高まったと認識している」と答えた回答者が全体の約36％にも上った。また、そう答えた回答者のうち半数強が仮想LAN内にファイアウォールとセグメント化された基幹ネットワークを設置しており、残りの半数弱が侵入検知センサーに仮想マシン向けトラフィック検知機能を搭載していた。

　さらに、回答者の約3分の1が、仮想マシン・プラットフォーム・レイヤ自体に脆弱性が存在していると考えている一方で、残りの約3分の2が、仮想マシン・プラットフォーム・ベンダーはセキュリティ機能を必須機能として自社製品に組み込もうという意識に欠けていると見ていることがわかった（下図参照）。

仮想化とセキュリティ対策

　もっとも、現時点では、ベンダーにいろいろと注文をつけている企業の側も、仮想サーバを保護するための最も基本的なセキュリティ・ポリシーさえ確立できていないというのが実情だ。

　そしてその結果、企業は、十分に管理の行き届かない、危険を内包した仮想マシン群を多く抱え込んでしまっている。

　「こうした問題は、一般に、仮想マシンのスプロール（無差別増殖）として知られる」と解説するのは、コンサルタントで『The Definitive Guide to Virtual Platform Management』の著者としても知られる、アニル・デサイ氏だ。同氏によると、「ITの知識なしに仮想マシンが構築されてしまうと、ネットワーク上にそれらが存在しているかどうかを知ることさえ難しくなる」という状況が生まれ、「スプロール」が引き起こされるという。

　デサイ氏以外にも、顧客サイトにおける仮想マシンの際限のない増殖を懸念するコンサルタントは少なくない。特にFortune500に入るような企業では、そうした問題が報告されることが多いようだ。デサイ氏によれば、いま企業では次のようなことが起きているという。

　「ソフトウェア開発者、イントラネット・ユーザー、そしてさまざま特権を持つデータセンターのユーザーまでもが、仮想マシンをすごい勢いで増やしている。仮想マシンは特定の作業の処理に適しているうえ、導入が容易だからだ」

　しかしながら、すべてのユーザー企業がこのような状況を黙認しているわけではない。例えば、INTTRAのドベネデット氏は、こうした現象を「理解できない」と切り捨てる。優秀な企業であれば、ベストプラクティスに従って、データセンターをしっかりと保護できるはずだというのが、同氏の主張だ。例えば、不正侵入を検知すると警報を発する仮想サーバのデータセンターへの設置といったベストプラクティスを実践することにより、仮想化の無秩序な拡大を阻止することも可能なはずだというのである。

　そういったことを自ら実践すべく、ドベネデット氏が籍を置くINTTRAでは、ヴイエムウェアの「Virtual Center」管理ソフトウェアを採用して不正なビルドを自動検知している（ノベルの「ZenWorks」、マイクロソフトの「System Center Virtual Machine Manager」などの仮想マシン向け管理ツールでも、Virtual Centerと同様に、不正なビルドを自動検知する機能が提供されている）。

　こうしたツールを管理コンソールに統合するのを嫌うユーザーに向けては、ここにきて、CA、HP、ネットワークジェネラルなどから、仮想マシンをさまざまな段階で認識可能な機能を付加したスイート製品が提供されるようになった。

　なお、ノベルの製品ディレクター、リチャード・ホワイトヘッド氏によれば、仮想マシンを検知する機能はライセンス管理や製品サポートを行う際にも役に立つという。「ライセンスされていない仮想サーバはサポートを受けられない。つまり、パッチやアップデートが適用されず、セキュリティ・リスクにさらされてしまうことになる、というわけだ」（同氏）

　このほか、ホワイトヘッド氏を含む専門家らは、不必要な仮想マシンを停止させる機能や、負荷バランス／ウイルス感染／攻撃などに応じてセキュアなシステムにフェール・オーバーさせる機能なども、セキュリティの強化に役立つとしている。

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ