前回(「クラウド環境におけるセキュリティ課題とは」)、企業が従来のIT環境を仮想化、クラウド化していく上で発生しうるセキュリティ課題として(1)乱立する仮想マシン、管理できない仮想サーバ(2)仮想マシン間での攻撃・被害、マルチテナント(3)境界線の消失――の3つを紹介した。今回は各々の問題に対してどのような対策が必要かを解説していく。
仮想マシンへのパッチ適用が重要
仮想環境では、従来の物理環境と比べて新たにマシンを作成することが容易になる。その一方で問題視されることは、作成されたマシンが乱立し、管理が行き届かないことだ。仮想環境で想定される使用例として、プラットフォーム全体の管理者(自社のシステム管理者)とは別に、仮想マシンの管理者(仮想マシンの使用者)がいる場合だ。
このケースで発生する課題としては、仮想マシンのOSやアプリケーションに対するパッチ適用が管理されずに脆弱性を放置したままになることや、ウイルス対策が徹底できないことが挙げられる。前者の問題である脆弱性の対策をするためには、適切なパッチマネジメントが必要になる。
パッチマネジメントを適切に行うための方法はいくつか存在する。
1つめは強制的にパッチを適用するという方法だ。マイクロソフトが無償で提供している「WSUS(Windows Server Update Services)」では、OS以外にもマイクロソフトが提供しているアプリケーションなどのパッチも配信できる。マイクロソフトが提供しているOSやアプリケーション以外にもパッチマネジメントを行いたい場合は、市販の資産管理ソフトを購入する必要がある。
2つ目の方法は仮想パッチによる対策だ。仮想パッチはその名の通り、ソフトウェアベンダーから提供されるパッチの代わりになるものである。仮想パッチを利用することで、あたかも正式なパッチを適用している場合と同様に脆弱性を狙った攻撃を防ぐことができる。
ここで注意頂きたいのは、パッチの代わりになると言っても、パッチ自体は適用する必要があることだ。そのため仮想パッチは、正式なパッチを適用するまでの脆弱性が残された時間のセキュリティを補完する役割として考えて頂きたい。
図1:正式なパッチと仮想パッチ※クリックすると拡大画像が見られます
ネットワーク型のIDSやIPSではチェックできない
ひとつのプラットフォーム(ハードウェア)上で複数の仮想マシンを稼働させると、仮想マシン間ではハイパーバイザ層を通じて外のネットワークに出ることなく通信する。つまり、仮にプラットフォーム上にある1台の仮想マシンが不正プログラムに感染した場合、ハイパーバイザ内に閉じた通信の中で、他の仮想マシンに対して拡大させてしまう可能性がある。
このような課題に対して、従来のネットワーク型の不正侵入検知システム(IDS)や不正侵入防御システム(IPS)では、ハイパーバイザから外のネットワークを経由した通信しかチェックできないため、有効ではない。
ハイパーバイザ層に閉じた通信をネットワーク型のIDSやIPSでチェックするためには、各仮想マシンを仮想LAN(VLAN)で構成して物理スイッチを経由させるネットワークにする方法がある。この方法であれば、従来の物理環境と同様にハイパーバイザから外のネットワークに通信が発生する。しかし、この方法ではネットワーク構成が複雑になるばかりでなく、柔軟に仮想マシンを増減できず、仮想化のメリットをムダにしてしまうことにもなりかねない。
このようなケースではホスト型のIDSやIPSを導入することで、仮想化のメリットを損なうことなく、ハイパーバイザ層に閉じた通信をチェックできる。ホスト型のIDSやIPSでは、各仮想マシンにエージェントをインストールするタイプのものが一般的だが、プラットフォーム全体の管理者と仮想マシンの管理者が異なる場合は、仮想マシン全体を監視できるバーチャルアプライアンスを使用するという選択肢もある。
図2:ネットワーク型とホスト型のIDS/IPS
