2008年07月25日 07時30分 UPDATE
特集/連載

VLANでの失敗を繰り返さないために仮想サーバ環境でいかにセキュリティを確保するか

1台のVMへの攻撃者のアクセスによって、社内にあるほかのすべてのVMが「一巻の終わり」にならないようにするための対策を紹介する。

[Thomas Ptacek,TechTarget]

 仮想マシン(VM)は現在の企業にとって、90年代におけるVLANスイッチングがそうだったように、ITをシンプルにする画期的な技術だ。非常に魅力的なため、一気に浸透していくと期待されている。

 しかし、残念ながら世の中はそう甘くない。かつて企業のセキュリティ担当チームの多くは、VLANのセキュリティへの影響を見過ごしてしまった。その結果、侵入テストを行うと、例えば受付担当者のデスクトップPCに入り込んでメインフレームやSANにすんなりアクセスできることがよくある。

 業界が仮想化を進めるに当たって、同じ過ちを避けるにはどうすればよいのか。そのためには仮想化技術の進化を追い、攻撃者の視点で考えることが重要だ。本稿では、仮想サーバ環境に予防的なセキュリティ対策を施す方法を紹介する。

新しい考え方が必要に

 まずVMについて考える際に、現在の使い方にとらわれないようにしよう。この技術は今も広く使われているが、将来は普遍的な存在になるだろう。新しいアプリケーションは物理ハードウェアには導入されなくなり、近いうちにほとんどのアプリケーションサーバは、仮想コンソールから管理されるようになるはずだ。

 また、仮想化のアーキテクチャを攻撃者の視点から見るようにしよう。仮想化は企業内のあらゆるアプリケーションの管理に利用される。従って、仮想化インフラはネットワーク上で最も価値の高いターゲットということになる。攻撃者は真っ先に狙うだろう。

ポリシーと技術を活用する

 次に、ITセキュリティの鉄則を念頭に置こう。「どんなポリシーや管理対策を実施していても、セキュリティ侵害を受けるマシンが出てくる。それに備える必要がある」というものだ。

 VMが利用されるようになる前は、こうしたセキュリティ侵害を受けたシステムを介して、攻撃者は企業内ネットワークにアクセスしていた。だが、VMが利用されている現在は、攻撃者はネットワークだけでなく、接続された任意の仮想化インフラにもアクセスできてしまう。そうなれば、すべての仮想化システムとそれらに含まれるデータが危険にさらされることになる。

 仮想化のセキュリティで最も重要な課題は、そうしたアクセスによって、社内にあるほかのすべてのVMが「一巻の終わり」にならないようにすることだ。そのための対策には次のようなものがある。

ITmedia マーケティング新着記事

news135.jpg

ログリーとビルコム、B2B企業向けコンテンツマーケティング支援事業を行う新会社設立へ
ログリーとビルコムは、共同出資により、新会社を設立することで合意した

news010.jpg

「Amazon Echo Spot」を差し上げます
メールマガジン「ITmedia マーケティング通信」を新規にご購読いただいた方の中から抽選...