クラウド環境だからこそ求められるセキュリティ対策

福井順一(トレンドマイクロ) 2011年03月02日 08時00分

  • このエントリーをはてなブックマークに追加

 前回(「クラウド環境におけるセキュリティ課題とは」)、企業が従来のIT環境を仮想化、クラウド化していく上で発生しうるセキュリティ課題として(1)乱立する仮想マシン、管理できない仮想サーバ(2)仮想マシン間での攻撃・被害、マルチテナント(3)境界線の消失――の3つを紹介した。今回は各々の問題に対してどのような対策が必要かを解説していく。

仮想マシンへのパッチ適用が重要

 仮想環境では、従来の物理環境と比べて新たにマシンを作成することが容易になる。その一方で問題視されることは、作成されたマシンが乱立し、管理が行き届かないことだ。仮想環境で想定される使用例として、プラットフォーム全体の管理者(自社のシステム管理者)とは別に、仮想マシンの管理者(仮想マシンの使用者)がいる場合だ。

 このケースで発生する課題としては、仮想マシンのOSやアプリケーションに対するパッチ適用が管理されずに脆弱性を放置したままになることや、ウイルス対策が徹底できないことが挙げられる。前者の問題である脆弱性の対策をするためには、適切なパッチマネジメントが必要になる。

 パッチマネジメントを適切に行うための方法はいくつか存在する。

 1つめは強制的にパッチを適用するという方法だ。マイクロソフトが無償で提供している「WSUS(Windows Server Update Services)」では、OS以外にもマイクロソフトが提供しているアプリケーションなどのパッチも配信できる。マイクロソフトが提供しているOSやアプリケーション以外にもパッチマネジメントを行いたい場合は、市販の資産管理ソフトを購入する必要がある。

 2つ目の方法は仮想パッチによる対策だ。仮想パッチはその名の通り、ソフトウェアベンダーから提供されるパッチの代わりになるものである。仮想パッチを利用することで、あたかも正式なパッチを適用している場合と同様に脆弱性を狙った攻撃を防ぐことができる。

 ここで注意頂きたいのは、パッチの代わりになると言っても、パッチ自体は適用する必要があることだ。そのため仮想パッチは、正式なパッチを適用するまでの脆弱性が残された時間のセキュリティを補完する役割として考えて頂きたい。

図1 図1:正式なパッチと仮想パッチ
※クリックすると拡大画像が見られます

ネットワーク型のIDSやIPSではチェックできない

 ひとつのプラットフォーム(ハードウェア)上で複数の仮想マシンを稼働させると、仮想マシン間ではハイパーバイザ層を通じて外のネットワークに出ることなく通信する。つまり、仮にプラットフォーム上にある1台の仮想マシンが不正プログラムに感染した場合、ハイパーバイザ内に閉じた通信の中で、他の仮想マシンに対して拡大させてしまう可能性がある。

 このような課題に対して、従来のネットワーク型の不正侵入検知システム(IDS)や不正侵入防御システム(IPS)では、ハイパーバイザから外のネットワークを経由した通信しかチェックできないため、有効ではない。

 ハイパーバイザ層に閉じた通信をネットワーク型のIDSやIPSでチェックするためには、各仮想マシンを仮想LAN(VLAN)で構成して物理スイッチを経由させるネットワークにする方法がある。この方法であれば、従来の物理環境と同様にハイパーバイザから外のネットワークに通信が発生する。しかし、この方法ではネットワーク構成が複雑になるばかりでなく、柔軟に仮想マシンを増減できず、仮想化のメリットをムダにしてしまうことにもなりかねない。

 このようなケースではホスト型のIDSやIPSを導入することで、仮想化のメリットを損なうことなく、ハイパーバイザ層に閉じた通信をチェックできる。ホスト型のIDSやIPSでは、各仮想マシンにエージェントをインストールするタイプのものが一般的だが、プラットフォーム全体の管理者と仮想マシンの管理者が異なる場合は、仮想マシン全体を監視できるバーチャルアプライアンスを使用するという選択肢もある。

図2 図2:ネットワーク型とホスト型のIDS/IPS

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ バックアップ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]