仮想化技術とセキュリティの関係を探る：RSA Conference 2007 Report

RSA Conference 2007において「仮想化技術とセキュリティ」という、注目される2つのトピックをまとめて語るパネルセッションが行われた。

[ITmedia]

　「仮想化技術は有用。しかし、セキュリティプロフェッショナルによる適切なガイドラインや可視化が必要だ」――。米サンフランシスコで開催されているRSA Conference 2007では、「仮想化技術とセキュリティ」というテーマで、注目される2つのトピックをまとめて語るパネルセッションが行われた。

　仮想化は、サーバの集約／統合によるコスト削減や運用管理の簡素化といったメリットにより、多くの注目を浴びている。サーバ側にすべてのデータを集約することで、情報漏えいリスクを抑えるシンクライアントシステムも、広義の仮想化技術の1つに含めることができる。

　米OracleのCSO、メリー・アン・デビッドソン氏が司会を務めたパネルセッションでは、こうした仮想化技術の有用性が語られるとともに、実装に当たってはセキュリティの面からの配慮や「見える化」が必要だと専門家らが指摘した。

　デビッドソン氏は、仮想化によってリソースが統合でき、大きなコスト削減効果が生じるるほか、アクセスを限定されたユーザーに限ることでセキュリティ上のメリットも生まれることなどを説明した。だが同時に、「仮想化されたマルウェア」などの脅威の可能性にも言及した。

　米Crossbeam Systemsのチーフセキュリティストラテジスト、クリストファー・ホフ氏は、仮想化によって単一のハードウェアに複数のシステムを統合できる一方で、1つの脆弱性がシステム全体にどのような影響を及ぼす可能性があるのか、見極めることができていない点に注意を促した。

　Configuresoftの創設者兼CTO、デニス・モロー氏も、仮想環境における1つの潜在的なリスクが、ほかのコンポーネントや共有されているデータストアにどういった影響を及ぼすのかを把握しなければならないと発言。その上で、合理的かつ効率的な形でリスクへの対処を図ることが必要だとした。

　一方NetIQのシニアアーキテクト、マイケル・アンジェロ氏は、複数の仮想マシンがある状態で互いの信頼をどのように確立するか、また「信頼できる環境」をどのように定義するかも課題だとした。

　ちなみに、ホフ氏が聴衆に向かって「VMwareを使っている人はどのくらいいますか？」と尋ねたところ、8割方が手を挙げた。ところが「ではその導入に当たって、何らかの監査を実施している人は？」となると、該当するのはほんの2人ほど。VMwareでは、セキュリティに関するガイドラインをまとめて提供しているというが、それを読んだという人も少数派だった。

　「われわれに必要なのは、ガイドラインやホワイトペーパーだ」（アンジェロ氏）。仮想環境の導入時には、物理的なシステムと同様にまず脅威モデルを理解し、リスクを把握し、適切なポリシーや手順を踏んでいくべきだと同氏は述べた。

　会場からはまた、そもそも仮想化環境の設定が適切に行われているか、信頼できる状態になっているかどうかを確認すること自体が困難な作業ではないかという指摘もあった。モロー氏はその意見に同意し、「仮想環境全体がセキュアになっており、基準を満たしているかどうかを確認することは困難。環境をコントロールし、管理していくためにも、可視化が非常に重要だ」とコメントした。