仮想環境でのセキュリティを考える

ベストプラクティスを実践し、仮想マシン・プラットフォームをマルウェアから守れ

（2007年09月07日）

最下位レイヤを封鎖する

　コンサルタントのデサイ氏によれば、ホストOSやハードウェアに対する権限と特権を持つVMWareプラットフォームは、現在、マルウェア・ライターの格好のターゲットになっているという。

　「技術的に言えば、仮想化レイヤは、ハードウェアまたはハードウェア抽象化レイヤに直接アクセスして機能する。つまり、物理マシンへの高レベルのアクセスを許可して稼働しているということだ。ということは、このアクセス・レベルで稼働するあらゆるアプリケーションが攻撃のターゲットになるということを意味する」（同氏）

　言いかえれば、仮想マシンを狙ったマルウェアが仮想マシン間を飛び回り、ホストOSや仮想マシン監視レイヤといったコアの部分に到達するのも、もはや時間の問題なのである。パーカー氏やマルウェアの研究者らも、実際にこうした攻撃シナリオが開発段階にあることを確認しているという。

　「彼ら（攻撃者）は、サンドボックスと仮想マシンのカーネルから攻撃する手法を検討している」と、その攻撃シナリオの一部を紹介するのは、ファイアウォールやHDDを手がける米国ドライブセントリーのCTO（最高技術責任者）、ジョン・サファ氏だ。

　一方、ヴイエムウェアの製品管理担当シニア・ディレクター、パトリック・リン氏は、同社がいかにセキュリティ対策に力を入れているかを、自社製品に施しているテストや認証項目を列挙することで強調してみせる。しかし、この分野でのベンダーの姿勢に不信感を抱いているユーザーとしては、それだけでベンダーを全面的に信頼する気にはなれないかもしれない。

　インテルでサーバ・セキュリティ・ストラテジストを務めるポール・スミス氏は、そんなユーザーの不安を解消するためには、仮想環境における認証プロセスをチップ・レベルで行う必要性があると説く。

　そういう意味で注目されるのが、セキュリティ標準化団体トラステッド・コンピューティング・グループ（TCG）が提唱している「Trusted Platform Module（TPM）」に含まれる「ルート・オブ・トラスト」コンポーネントである。

　TPMは、チップに書き込まれたシステムの認証コンフィギュレーションのハッシュ値を収めたカギを格納するものだ。そしてシステムが起動すると、ルート・オブ・トラストがこのカギとチップのハッシュ値を照らし合わせて、両者が一致しない場合には、一切の稼働を停止することによって不正侵入を阻止する。

　インテルとAMDは、仮想マシン向けに、仮想マシン・モニタ（ハイパーバイザ）のハッシュ値を確認するTPMのルート・オブ・トラストをサポートしている。もし、ハッシュ値が変更されているときにシステムが再起動を試みた場合、ルート・オブ・トラストは元のハッシュ値に戻るか、あるいは起動を許可しない。

　インテルのスミス氏は、「ルート・オブ・トラストは、仮想マシン・プラットフォームの信頼性を保証し、その信頼性によって仮想マシン・プラットフォームの安全性をも保証することができる。なぜなら、プラットフォームの（最終的には仮想マシン自体の）どんな変更も許可されることがないからだ」との表現で、この方式の優位性を強調する。

　一方、ノベルの製品マネジャー、ラリー・ラッソン氏によれば、最近は仮想TPMの開発も進められており、これが実用化されれば、信頼性の認証プロセスは仮想ゲストにも広がることになるという。

　ラッソン氏は、インテルが採用する方式についてはそれほど評価しておらず、「TCGのモデル（TPM／ルート・オブ・トラスト）の場合、トラスト認証プロセスで、すべての仮想デバイスにおける変更をチップ・レベルで逐一複製し、再ハッシュしなければならないため、コンフィギュレーションの変更やパッチの適用が難しい」と、同方式の欠点を突く。

　しかしながら、ラッソン氏の言うような変更管理を行うためには、チップにまったく新しいレイヤを生成する必要があるとも見られる。いずれにしろ、早期の実用化が期待される。

(Computerworld.jp)

前のページへ < ｜1｜2｜3｜4｜