日本IBMは12月15日、x86サーバ向け仮想化ソフトウェア「VMware」を利用した仮想化システム全体を守るセキュリティソリューション「IBM Virtual Server Security for VMware」(VSS for VMware)を発表した。
仮想化環境では、1台の物理的なサーバを複数の仮想マシンに分割し、それぞれの仮想マシンがハイパーバイザ上で稼働するため、仮想マシン間の通信は物理ネットワークを必要とせず、ファイアウォールやIPS(不正侵入防御装置)などの物理的なネットワークセキュリティ装置が配置できないという脅威が存在する。そこでVSS for VMwareは、実際の物理サーバにパッチを適用した状態を作り出し、ウイルスやワームの攻撃からシステムを防御するバーチャルパッチ機能を組み込み、仮想マシン間通信での不正侵入などを防ぐという。
もう1つのハイパーバイザ関連の脅威は、ハイパーバイザに侵入し仮想化環境全体を自由に操ることを目的としたルートキットと呼ばれる悪意のあるプログラムだ。ルートキットは、自身が侵入した痕跡を削除するため通常のアンチウイルスソフトでは検知や除去ができないが、VSS for VMwareはバーチャルパッチ機能と同様、ハイパーバイザに対するルートキットを検知し除去する技術を組み込んでいる。
これらの技術は、IBMセキュリティ研究開発組織「X-Force」の持つノウハウに基づいて開発したものだ。
また仮想マシンは、構築やオン、オフが容易なため、例えば年に一度しか使用しない仮想マシンを通常はオフにするなどしてIT資源を有効活用できるが、セキュリティの観点からは、古いOSや最新のセキュリティパッチを適用していないシステムが突然現れる危険性がある。そこでVSS for VMwareは、休眠状態からオンになった仮想マシンや新規に構築された仮想マシンなどを自動的に検知し、他の仮想マシンへ影響を与えないよう仮想ネットワークから隔離する機能を提供する。
さらに、仮想化環境ではすべての仮想マシンや仮想ネットワークを一元管理できるため、万が一管理者権限を持つ人が悪意を持ってシステムを不正利用した場合、被害が大きく、痕跡を消すこともできてしまうが、VSS for VMwareは管理者の操作をすべて記録するため、不正の抑止にもつながる。
VSS for VMwareは、VMwareがパートナー企業に開示した「VMSafe API」に基づきIBMが開発したもので、ハイパーバイザ上で仮想マシンから独立して稼働する。
VSS for VMwareの価格は、1台のVMwareサーバに対し、68万2000円から。12月15日より提供を開始する。
