経営者必見！ 仮想化環境のセキュリティ強化とコスト削減を両立する後悔しないIT投資とは？

2010年もIT投資の抑制傾向が続くと予測される中、企業にはセキュリティリスクへの対応とITコスト削減の両立という新たなチャレンジが待っている。今後5年先を見据え、我々が選択すべきセキュリティとは何か。

　2010年3月に内閣府が発表した月例経済報告によると、企業収益の改善が続くなかで、景気は着実に持ち直し傾向が続きつつも、海外景気の下振れ懸念やデフレの影響などで自律性は弱く、今なお景気を下押しするリスクが存在するとの見方を報じている。

　それを裏付けるように、日銀短観においても今後設備投資は下げ止まりつつあるものの設備過剰感は依然高水準にあるとし、また法人企業統計季報で見るデータでもソフトウェア投資は緩やかに減少していることを示す。

　2008年のリーマンショックから続く経済の長期低迷はいまだ明確な底打ち感を見せないまま、日本は2010年の新たな年度を低成長の見通しのままスタートさせたが、企業のIT投資も抑制傾向にある中、聖域となっていたセキュリティ投資にも厳しい経済合理性が問われている。

　情報漏えい対策や日本版SOX法対応の動揺の中で行われたセキュリティ投資もリースアップの時期を迎え、再びセキュリティ対策の改善を迫られている企業には、脅威の複合化への対応とコスト削減の両立というやっかいなテーマが突きつけられている。

　しかも、時代はすでに仮想化によるITインフラの統合が加速中で、拡張性、柔軟性、可用性の高いセキュリティプラットフォームの構築が前提となりつつある。

日銀短観による業況判断

　その仮想化だが、インフラの集約化によるリソースの有効活用やコスト削減、運用管理の効率化などばかりに議論が集中し、セキュリティの脆弱性についてあまり関心が向けられていない現状を問題だと指摘する声は多い。

　仮想化環境での最も危惧すべきセキュリティリスクの１つは、ハイパーバイザが新たな攻撃の対象となり得ることにより、サービスコンソールの管理対象下のあらゆる仮想化セッションがSPOF（単一障害点）になることである。

　攻撃者がハードウェアのrootあるいは管理者権限を取得し、1つのゲストOSを攻撃することで、同じ物理サーバ上の仮想マシン全体に不正プログラムの感染を拡げる最悪のシナリオが十分に考えられるのである。

　ネットワーク帯域、ディスク領域、CPUリソースなどを共有して、より密になった仮想環境では、一度被害が発生すれば大規模なシステム障害、サービス停止、データ漏えいなど、その影響も甚大になる。また、仮想マシン上のOSやアプリケーションに潜在する脆弱性の放置も高いリスクとなっている。

　しかし現実は、サーバ統合に注力するあまり、導入後にようやくセキュリティの必要性に気づくケースが多く、当初の予算にセキュリティを含めていないばかりか、仮想サーバのセキュリティのパッチ適用と更新に十分な注意が払われているとさえ言えない状況にある。

「セキュリティの構築を考える場合、5年先を見越した最新技術を選択することがコスト削減にも有効」と語るチェック・ポイントの松本和憲氏

　「今後少なくとも4〜5年先を見据え、仮想化推進とともに増大する脅威に対するための機能拡張のロードマップや、開発力を持ったセキュリティプラットフォームの選択が必要となるだろう」

　そのように語るのは、チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）のダイレクトセールス営業本部でメジャー・アカウント・マネージャーを務める松本和憲氏だ。

　ネットワークの構築とそれに付随するセキュリティの構築を考える場合、CPUやソフトウェアなど基幹技術は日々進化することを前提に製品を選択していく必要があるという松本氏は、「リースアップを待たずに陳腐化するようなものではなく、性能を最大限に享受できる最新技術を導入することが重要。結果的にそれが最もコスト削減につながる方法でもある」と話す。

　しかし、現状のユーザー企業を見ると、従来の機能を引き継いだ保守的な製品にリプレースするケースが多いという。最新のものに比べ価格が安くなっているからだ。セキュリティはビジネスの継続性を支える命脈であるにも関わらず、それをないがしろにすることでネットワーク上のトラブルが発生し、生産性や収益に影響を及ぼす事例が後を絶たないという。

　では、セキュリティ投資の抑制と、仮想化における脅威への対応、これを両立する方法はあるのだろうか。今後4〜5年先まで考え、我々が選択すべきセキュリティとは一体何か。