【製品動向】ハイパーバイザーの危険を防ぐセキュリティ製品:仮想マシンの不正操作を防ぐ
仮想環境の要となるハイパーバイザー。その安全性を確保すべく、ハイパーバイザー向けのセキュリティ製品が登場し始めている。最新の製品動向を示す。
仮想マシンで稼働する業務システムが増えるほど、仮想環境のセキュリティ対策の重要性は高まる。サーバ仮想化の中心的な要素であるハイパーバイザーが攻撃者に狙われれば、その被害は甚大になる。ベンダーの中にも、ハイパーバイザーの安全性を高めるセキュリティ製品を拡充する動きが少しずつ現れ始めた。本稿は、ハイパーバイザー向けセキュリティ製品の動向を示す。
「ハイパーバイザーには非常に高い権限が集中する。そのため、ハイパーバイザーへのアクセスを慎重に制御する必要がある」。ネットワンシステムズの山崎文明氏は、こう強調する。CA Technologiesでプロダクトマーケティングマネージャーを務める金子以澄氏も、ハイパーバイザーに対するセキュリティ対策の重要性を指摘する。「ハイパーバイザーを不正に利用されると、社外から仮想マシンを自由に操られてしまう可能性がある。物理サーバ以上にセキュリティ対策が重要となる」(金子氏)
ハイパーバイザー攻撃の現状
海外では既に攻撃例も、脆弱性も脅威に
国内では、目立ったハイパーバイザー攻撃が表に出てきていないこともあり、ハイパーバイザーセキュリティの脅威を実感するのは難しい。ただし、海外ではハイパーバイザーを狙った攻撃が発生しており、国内にも波及する可能性は否定できない。
2011年2月、塩野義製薬の米国子会社Shionogiで発生した事件が、その1例だ(参考:事件に関する米連邦捜査局のプレスリリース)。同社を退職したIT部門のスタッフが、社内で稼働する米VMwareのハイパーバイザー「VMware ESXi」へインターネット経由で不正に侵入。業務アプリケーションが稼働する88個の仮想マシンを消去した。Shionogiは、額にして80万ドルもの損害を被ったという。
ハイパーバイザーにおける脆弱性の存在も見逃せない。件数自体はそれほど多くはないものの、過去には何件か脆弱性が報告されている。2009年に明らかになったVMware ESX/ESXiの脆弱性は、仮想マシンのゲストOSからホストOSへの攻撃を可能にする危険性があった(参考:VMware Security Advisoriesの該当ページ)。
米国中心にハイパーバイザーセキュリティ啓蒙の動き
こうした動向を受け、米国を中心にハイパーバイザーのセキュリティ対策の強化を促す動きが相次いでいる。米国立標準技術研究所(NIST)が2011年1月に発表した仮想化に関するセキュリティガイドライン「Guide to Security for Full Virtualization Technologies」では、ハイパーバイザーのセキュリティ対策の必要性を明示。ハイパーバイザーには常にパッチを適用し、不正利用されないように監視すべきだと指摘する。
クレジットカード情報保護のためのセキュリティ標準「PCI DSS」を策定するPCI Security Standards Council(PCI SSC)。そのPCI SSCが2011年6月に発表した、仮想化に関するガイドライン「PCI DSS Virtualization Guidelines」は、「ハイパーバイザーが新たな攻撃対象となる」と指摘。ハイパーバイザーに対するアクセス制限の必要性を訴える。
ハイパーバイザーセキュリティ製品の動向
こうした動きを受け、ハイパーバイザーの安全性確保を目的としたセキュリティ製品が少しずつではあるが登場し始めた。「ハイパーバイザーセキュリティ製品」という明確な製品分野があるわけではないが、アクセス制御やIDS(侵入検知システム)/IPS(侵入防御システム)といった製品の一部が、ハイパーバイザー攻撃に対処する機能を備えつつある。こうしたセキュリティ製品は、部分的ではあるものの、上述したガイドラインに準拠したセキュリティ対策を進めるのに役立つ。
製品動向1:管理ツールのアクセス制限を可能に
ヴイエムウェアの「VMware vCenter Server」をはじめとする、ハイパーバイザーの管理ツールへのアクセス制御を実現するセキュリティ製品が登場し始めたのが、代表的な動きだ。
Copyright © ITmedia, Inc. All Rights Reserved.