RSA Conference 2009 レポート（2）

浸透しつつある仮想化環境をどう守る？ どう使う？

高橋 睦美
＠IT編集部
2009/5/19

4月20日から24日にかけて、セキュリティをテーマとするカンファレンス「RSA Conference 2009」が米サンフランシスコのMoscone Centerで開催された。そのハイライトを紹介する。（編集部）

仮想化技術、どう守る？ どう使う？

　4月20日から24日にかけて、セキュリティをテーマとするカンファレンス「RSA Conference 2009」が米サンフランシスコのMoscone Centerで開催された。基調講演の模様を紹介した前回に続き、会場ではどんなテーマに注目が集まったのか、そのハイライトを紹介する。

　EMCのエグゼクティブバイスプレジデント兼RSAセキュリティのプレジデント、アート・コビエロ氏は初日の基調講演の中で、業界内でのコラボレーションの重要性を訴え、その実現に必要な条件として「仮想化やクラウドコンピューティングといった新しいテクノロジーに対応することも重要だ」と述べていた。

　事実、RSA Conference 2009の展示会場では、「仮想化環境におけるセキュリティリスクは何で、どう対策を実現するか」「仮想化技術を活用すれば、セキュリティはどのように強化できるか」といったテーマに注目が集まっていた。

　例えば、仮想化環境におけるセキュリティリスクを取り上げたセッション「Controlling Virtualization Security Risks: Tips from the Experts」において、米トリップワイヤのCTO、ジーン・キム氏は「セキュリティに関しては、物理的なサーバのほうが優れているところもある。PCへのアクセスやケーブルの制御などは、仮想化された環境よりも物理的なサーバのほうがやりやすい。一方仮想化サーバには、管理を一元化でき、コントロールを集約できるというメリットがある。ただそれには、『単一の障害点』を招くというリスクもあるし、可視性を損なうことにもなる」と指摘している。

■RSAとVMwareが協力、情報漏えいを阻止

　米RSAセキュリティは、同じくEMCの傘下にある米ヴイエムウェアとの提携を発表。会場では、VMwareのインフラ上に構築した仮想マシンからの情報漏えいを防ぐシステムのプロトタイプを紹介した。「仮想化された環境に、新しいセキュリティコントロール方法を提供するもの」（同社）という。

　コビエロ氏は基調講演の中で「VMwareとの新しい発表により、データセンターをより効率的で管理可能で、スケーラブルかつセキュアなものにできる。データセンターに新しいレベルのセキュリティをもたらすものだ」と述べていた。

　この連携機能は、VMware vSphere 4で実装された仮想マシン用のファイアウォール機能「vShield Zones」と、RSAの情報漏えい防止ソフトウェア「RSA Data Loss Prevention（DLP）」を組み合わせたもので、1台のサーバ上に複数の仮想マシンを構築し、vShield Zonesが仮想マシン間のトラフィックを監視する。もし、ある仮想マシンから別の仮想マシンに対して機密情報／個人情報が送信されそうになったら、DLPがそれを検出し、通信をブロックするという仕組みだ。センシティブな情報を扱う金融機関などへの提供が考えられるという。

　ただRSAセキュリティによると、この連携システムはあくまで「コンセプトモデル」に過ぎない。今後、「SecurID」をはじめとする認証製品やリスク管理などほかの製品にも協業を拡大していく計画という。

■文字通り「仮想ファイアウォール」を提供、Altor Networks

　オルター・ネットワークス（Altor Networks）も、同じくVMware上で動作する仮想アプライアンス「Virtual Firewall」を展示した。その名が示すとおり、仮想化環境で動作するファイアウォール製品だ。

　1台の物理サーバ上に複数の仮想マシンが構築されている環境では、ネットワークインターフェイスも共有されることが多い。だが、その共有インターフェースを通る仮想マシン間の通信が「盲点」になってしまい、仮想マシンから別の仮想マシンへのマルウェア感染や情報流出が起こりかねないという。

　Virtual Firewallは、VMware APIを介して仮想マシン間のトラフィックを監視し、セキュリティポリシーに基づいて不審な通信をブロックする。このポリシーは仮想マシン単体だけでなく、複数の仮想マシンをまとめたグループ単位、あるいは仮想マシン全体という単位で設定可能だ。さらに、VMotionを用いたマイグレーション時も継続的にセキュリティ機能を提供できるほか、トラフィックのミラーリングにより、IDS／IPSを組み合わせて使うこともできる。

オルター・ネットワークス（Altor Networks）の仮想アプライアンス「Virtual Firewall」

　同社によると、仮想マシンに付けられるIPアドレスは変化するため、従来のファイアウォールでは、その変更を把握しながらの監視が困難だ。これに対しVirtual Firewallは、IPアドレスの変更を把握できる点が特徴だという。またVMwareだけでなくHpyerVやXenなど、ほかのハイパーバイザーにも対応できるという。

■いつでもどこでもクリーンな仮想デスクトップを

　米モカファイブ（MokaFive）は、同じ仮想化という切り口でも、少し異なるアプローチの製品「MokaFive Virtual Desktop Solution」を紹介した。同社いわく「Desktop as a Service」を目指しているものだ。

MokaFive Virtual Desktop Solutionのデモンストレーション

　このソリューションでは、独自の技術「LivePC」によってマシンのイメージを作成し、LivePC形式にしたり、USBメモリに入れて、自分の「デスクトップ環境」を持ち歩くことができる。WindowsやMacintosh、Linuxなど、あらゆるプラットフォームで利用でき、6月には、iPhoneなどに対応した次のバージョンをリリースする予定という。

　いわゆるデスクトップ仮想化技術の中には、データセンター側で処理を実行し画面を転送する方式を取るものもあるが、MokaFive Virtual Desktop Solutionでは、処理もローカル側で行われる。このため、パフォーマンス上の問題がないほか、オフライン環境でも利用できることがメリットだ。

　ほかのデスクトップ仮想化技術と比べた場合のもう1つの特徴は、OSやアプリケーションなどのシステムデータと、ユーザーが作成したユーザーデータとを区別していること。このため、もしマルウェアの被害に遭った場合でも、いったんLivePCをシャットダウンしてリブートするだけで、システムをクリーンな状態で利用できるだけでなく、ユーザーが作成したデータはそのまま保存されるという。

【関連記事】 RSAとVMwareが協業、仮想マシン単位でセキュリティ制御（＠IT NewsInsight） http://www.atmarkit.co.jp/news/200904/23/rsaconf.html Desktop-as-a-Serviceの「MokaFive」がプレビュー版公開（＠IT NewsInsight） http://www.atmarkit.co.jp/news/200804/08/moka.html

←その（1）へ

1/2

Index
RSA Conference 2009 レポート（2） 浸透しつつある仮想化環境をどう守る？ どう使う？
	Page1 仮想化技術、どう守る？ どう使う？
	Page2 複雑化するWebアプリケーションの脆弱性 ソーシャルネット事業者は「もっとアクティブに取り組むべき」

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）