NewsInsight

バーチャルアプライアンスとして動作するセキュリティ製品

仮想サーバは仮想パッチで保護

2007/11/06

　住商情報システムは11月6日、仮想サーバのセキュリティホールを実質的に塞いで保護するセキュリティソフトウェア「VirtualShield」の販売を開始した。

　VirtualShieldは、米ブルーレーン・ソフトウェアが開発したセキュリティ製品だ。VMware ESX Serverで構築された仮想サーバとハイパーバイザーの間でトラフィックを監視し、ソフトウェアベンダが提供するパッチの動きをエミュレートする。つまり、仮想サーバ本体に直接手を加えなくとも、パッチを適用したのと同レベルの保護を実現する。

　ブルーレーンはこれまで、物理的なサーバを対象に同じように「パッチの外出し」を実現するアプライアンス製品「PatchPoint」を提供してきた。

　PatchPointはサーバに送られてくる通信の内容をアプリケーションプロキシで検査し、脆弱性を狙う悪意あるトラフィックが含まれていることが分かれば、ベンダ提供のパッチが行うのと同じように無害化処理を行う。つまり、サーバ本体にパッチを適用しなくても、実質的に脆弱性を塞ぐことができる。

　PatchPointを投入した背景には、セキュリティパッチの迅速な適用が不可欠なことは分かるが、現に稼働しているサーバにはなるべく手を加えたくないという管理者のニーズがある。パッチを適用するとなれば、既存のアプリケーションとの互換性確認や動作検証、サービス停止に向けた調整など、さまざまな作業が発生する。不正アクセスの増加を考えると即座にパッチを当てるのが理想だが、現実はそうもいかない……という状況を「仮想パッチ」によって解決するというアプローチだ。

　VirtualShieldは、こうしたPatchPointのコア技術を仮想サーバ向けに提供するものだ。VMWare ESX Serverのバーチャルスイッチ側で、トラフィックが必ずVirtualShieldを経由するよう設定し、その上の仮想サーバをまとめて保護する。

　住商情報システム、IT基盤ソリューション事業部の赤澤卓真氏（セキュリティソリューション部主任）は「スペースや電源、空調の節約、あるいはセキュリティ向上といった観点から仮想化技術の導入が進んでいるが、それにともない、仮想サーバについてもパッチ管理という課題が浮上してくるだろう」と述べている。特に、VMotionなどの技術によって柔軟に仮想サーバを立ち上げられるようになれば、リソースの活用という意味では利点だが、パッチ管理はさらに煩雑になるという。

　VirtualShieldは、こうした部分をバーチャルアプライアンスの形で解決する。既にサポートが終了した古いプラットフォームを仮想化環境に移行する場合にも有効という。

　ハイパーバイザーと仮想サーバの間にさらに一段処理を加えることによって、パフォーマンスへの影響も考えられるが「事前にきちんとサイジングしておけば問題ない」と赤澤氏は述べた。また、VMware ESX Server自体が持つ機能で負荷の調整も可能という。

　なお、仮想パッチの実現方法はPatchPointと同じだ。WindowsやSolaris、Red Hat Enterprise Linux、SuSEといったOSのほか、ApacheやSendmail、IISやSQL Serverといったアプリケーション向けにベンダが提供する公式のパッチをブルーレーン側で解析し、「InlinePatch」という独自のパッチとして実装する。ただし、PatchPointではOracleデータベースも対象に含まれているのに対し、VMware上で動作するVirtualShieldはサポート外となっている。

　価格は29万8000円から。11月6日より、VMwareの国内代理店であるネットワールドを通じて販売を開始する。