VoIPや仮想化の新手の脅威に要注意：爆発的な普及で脅威も本格化

VoIPと仮想化は爆発的な普及拡大を遂げており、これらの技術のセキュリティ問題が大きく浮上しても不思議ではない段階に来ている。

≫ 2008年02月19日 04時15分公開

[Mike Chapple，TechTarget]

　セキュリティ専門家としてのわたしの2008年の予測は、これまで脅威があまり顕在化していなかった仮想化とVoIPに焦点を当てたものだ。2007年にはどちらの技術でも、重大な脆弱性などセキュリティ問題の初期的兆候が見られた。VoIPと仮想化は爆発的な普及拡大を遂げており、これらの技術のセキュリティ問題が大きく浮上しても不思議ではない段階に来ている。

仮想環境がターゲットに

　仮想化市場は2007年に大きく成長した。企業がデータセンターの省スペース化や、ハードウェアリソースの使用率向上を図っていることが背景にある。だが、仮想化は悪党たちの関心も引き付けている。

　攻撃者は今、仮想化の脆弱性を躍起になって探している。彼らの主な目的の1つは仮想マシンから抜け出すこと、つまりゲストOS上からホストにアクセスすることにある。調査会社Burton Groupの上級アナリスト、ピート・リンドストローム氏は、こうした攻撃者の動向に伴う緊迫した現状を次のように要約した。「攻撃者とエンタープライズアーキテクトは、仮想化のセキュリティをめぐってしのぎを削っている。この戦いはこれからいよいよ本格化しそうだ」

　2007年にエド・スコウディス氏率いるIntelguardiansのコンサルティングチームは、VMware Workstationから抜け出して攻撃を行うことが可能であることを実証した。エンタープライズクラスの仮想化技術をターゲットにした同様の攻撃が2008年に発生しても、驚くにはあたらない。

　では、社内に仮想化を導入している場合、どうすれば自衛できるのか。幾つかの対策が考えられる。

機密度に応じて仮想環境を分離する

　会社の予算や複雑さに対する許容度によって分離の程度は変わってくるだろうが、機密度が大幅に異なるデータは別の仮想環境に置くのが賢明だ。例えば、公開Webサーバをホストするインスタンスと社内データベースサーバをホストするインスタンスを、同じ仮想環境で運用するのは得策ではない。

おなじみの手法を踏襲する

　OSのセキュリティについての知識は、すべて仮想サーバにも当てはまる。不要なサービスを無効にし、ホストファイアウォールを厳格に運用し、セキュリティパッチを適用して、システムの保護を徹底することが重要だ。システムをスリム化し、その攻撃ポイントを排除することで、攻撃を受ける可能性を減らすことができるだろう。

ニュースに目を光らせ、素早く対応できるように準備を整える

　今後、仮想環境を狙ったゼロデイ攻撃の被害に遭う不運な企業が出てくるだろう。統計的に言えば、それは自分の会社ではない可能性が高い。だが、そのニュースが報じられたら、悪党たちもそのニュースをすぐに目にするはずだ。攻撃の発生に注意を払い、いざ発生したら2次攻撃の被害に遭わないよう迅速な対応を取らなければならない。

VoIPの脅威が現実に

　好むと好まざるとにかかわらず、VoIPは普及が進んでいる。Juniper Researchは2006年に、VoIP市場が2010年までに180億ドル規模に成長するとの見通しを示している。あなたの会社がまだVoIPを使っていないとしても、誰かが会議室で今、移行について話している可能性がある。

　数カ月前まで、VoIPのセキュリティは主に理論上の問題だった。安全確保に時間をかけずに新興技術を導入する動きが広がっていることを嘆き、批判する声が多かった（どこかで聞いたような話だと思われたなら、それは10年くらい前にインターネットについても同じような声があったからだ）。

　数カ月前には本格的なVoIP攻撃の手口が広く知られるところとなった。研究者のジョフリー・ザーニー氏が、Cisco Unified IP Phoneのリモート盗聴が可能なことを実証するプレゼンテーションを行ったからだ。Ciscoは脆弱性の存在を認め、問題回避策を発表した。

　会社をVoIPのリスクから守るためのシンプルなアイデアを幾つか紹介しよう。

VoIPネットワークセキュリティのベストプラクティスに従う

　例えば、イントラネット音声通信を盗聴する不正デバイスから保護するために、すべてのVoIP電話を独立した安全なVLAN上に配置するようにする。さらに、そのVLANに不正デバイスが接続されないようにする。VoIPデバイスを隔離したら、VoIPデバイスがコールマネジャーとだけ通信できるように、インバウンドとアウトバウンドのトラフィックを制限する。

公衆通信回線を通る通話を暗号化する

　現時点では、暗号化技術はあまり出そろっておらず、すべてのベンダーからすべてのVoIPシステム用に提供されているわけではない。あなたの会社が導入しているVoIPシステムで利用できる選択肢をしっかり調べておくとよい。

ニュースに目を光らせ、素早く対応できるように準備を整える

　ご覧の通り、このアドバイスは仮想環境のセキュリティ対策として挙げたのと同じものだが、VoIPやほかの新興技術にも同様に有効だ。

　以上は、注意すべき新手の脅威の網羅的な紹介では決してない。だが、VoIPと仮想化のセキュリティ問題が遅かれ早かれ、ほとんどの企業情報セキュリティ担当者に影響を与えるであろうことはまず間違いない。2008年を通じて警戒を怠らず、脅威をめぐる状況の展開に即応できるようにしておこう。

本稿筆者のマイク・チャップル氏は、ノートルダム大学のITセキュリティプロフェッショナル職を務めており、CISA（公認情報システム監査人）、CISSP（公認情報システムセキュリティプロフェッショナル）の資格を持つ。米国家安全保障局と米空軍に情報セキュリティ研究員として勤務した経験がある。「Information Security」誌のテクニカルエディターを務めるほか、「CISSP: Cissp Certified Information Systems Security Professional」や「Information Security Illuminated」（いずれも共著）など、情報セキュリティに関する数冊の著書がある。