クラウドや仮想化が新たなセキュリティホール――IBMが明かす対策修正パッチが最終防衛ライン

企業利用の進むWebアプリケーションや仮想化環境、クラウドといったITインフラが新たなセキュリティホールとなりつつある。これらのインフラが抱えるセキュリティ課題と対処について、IBMが方向性を示す。

» 2009年03月17日 07時30分 公開
[國谷武史,ITmedia]
ウォジトウェクツ氏

 「脆弱性を解決する修正パッチの上手な利用がビジネスメリットを損なわないセキュリティ対策になる」――米IBM Internet Security Systems(ISS)でグローバル技術サービスなどの責任者を務めるステファン・ウォジトウェクツ氏は、企業のITインフラとして普及しつつあるWebアプリケーションや仮想化、クラウドが、新たなセキュリティホールになると指摘する。

 これらのITインフラは、コストやリアルタイム性、運用性といったビジネス上のメリットから普及拡大が今後も続く反面、サイバー攻撃者たちにとっても格好の標的になり得つつあるという。

パッチ適用とビジネスのバランス

 現在直面する大きな脅威の1つがWebを通じてアプリケーションの脆弱性を狙う攻撃である。ISSによれば、2008年に発見された脆弱性の55%がWebを経由するものであり、サイト改ざんやドキュメント、マルチメディアなどのアプリケーションの脆弱性を突く攻撃が一般化した。ウォジトウェクツ氏は、脆弱性を突く攻撃を回避する最善策を「セキュリティパッチの適用しかない」と指摘する。

 しかし、2008年に公開された脆弱性のうち、セキュリティパッチが提供されたものは半数程度になる。企業システムにセキュリティパッチを適用するにも、サービスへの影響を十分に考慮しなくてはならないため、検証に人的、時間的なコストを掛けて慎重に行わざるを得ない。国内では開発を外部委託している場合に、自社でセキュリティ管理を完結させるのが難しいといった面がある。

 「パッチ適用は脅威から保護する確実な方法だが、重要な点はセキュリティ対策がビジネスに与える影響を十分に考慮することだ。対策コストが収益の機会を大きく損なうようではいけないが、実施しないことで発生する損失も考えなくてはいけない」(同氏)

 具体的な方法の1つには、パッチ適用のスケジュール化がある。システム利用の少ない深夜にセキュリティパッチを適用すれば、サービスへの影響が小さくなる。パッチを提供するアプリケーション開発者は、すべて脆弱性に対処するのが大きな負担となるため、ユーザーに深刻な問題を与えかねない脆弱性へ優先的に対処するのが望ましいという。

 ウォジトウェクツ氏が挙げる取り組みは、セキュリティ管理の最適解の1つともいえ、多くの企業がすでに実践していることだろう。同氏が改めてこうした提起を行うのは、企業のITインフラとして台頭しつつある仮想化やクラウドのセキュリティ管理にも当てはまるからだという。

仮想化環境やクラウドのセキュリティ課題

 企業が仮想化やクラウドの利用で得られる最大のメリットは、物理システムの運用効率を高めることでのコスト削減効果だろう。仮想化環境を活用すれば、物理マシンを多数抱えることなく柔軟なシステム構成を可能にする。クラウドを利用すれば、最小限の物理システムさえ保有していれば、必要なシステム環境を必要なタイミングで運用することができる。

 だが、仮想化やクラウドは企業にとって新たなセキュリティホールになる可能性があるとウォジトウェクツ氏は見ている。仮想化では仮想マシンが氾濫することでセキュリティ管理の複雑性が増す。クラウドでは重要なデータの所在やユーザーのアクセス権限などの管理を企業がすべて掌握できない場合があるという。

 「すでに重大なセキュリティ課題が顕在化しているわけではないが、これらのITインフラの弱点を突く方法が見つかれば、金銭につながる情報が保管されたインフラをサイバー攻撃者はすぐに標的にするだろう」(同氏)

 仮想化やクラウドにおけるセキュリティ管理を考える上では、これらのインフラが持つ特徴と既存のアプローチを組み合わせていくことが近道になると同氏は話す。

 「仮想化では、仮想マシンへのインタフェースを保護する方法と、仮想プラットフォームを含めてシステム全体を保護していく方法がある」(同氏)。例えば仮想化プラットフォームと物理ネットワークの境界にIPS(不正侵入防御)アプライアンスを置き、個々の仮想マシンへの不正アクセスをブロックする。次のステップとして、個々の仮想マシンとプラットフォームを包括的に管理するシステムを用意する。

 仮想化環境に対応したアプライアンスはセキュリティベンダー各社が現在注力する分野の1つであり、IBMでも今年前半にアライアンス機能を仮想化するシステムをリリースする予定であるという。また、包括的なセキュリティ管理ソリューションでは今年10〜12月期にVMware対応のサービスを投入する。その後、CitrixやMicrosoft Hype-Vにも拡張し、最終的に仮想化プラットフォームを問わずに管理するものにしていく。

 一方、クラウド向けのセキュリティ対策では企業の利用形態に合せて対応していく方針。企業内にクラウド環境を構築する「プライベートクラウド」からマルチテナント型の「パブリッククラウド」まで、データ自体や物理システム、アクセス権限などを組み合わせて提供する。また、マネージドサービスとしてメールセキュリティをSaaS(サービスとしてのソフトウェア)形態で提供しているが、今後はサービスメニューも広げる。

 「仮想化やクラウドのビジネスメリットを考えれば普及ペースはさらに加速するが、セキュリティ対策では“弱みを無くす”という基本的なアプローチ方法に変化はない。新たなITインフラでも基本に忠実に、そして環境を生かす対策アプローチを心がけてほしい」(同氏)

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ