クラウドがもたらすブラックボックス化の光と影
クラウドや仮想化がなぜ注目を浴びているのだろうか。その理由は、「設備を物理的に集約できること」「ハイパフォーマンスを実現できること」「サービス・レベルを向上できること」などに求められると大森氏は分析する。特に、必要なときに必要なだけリソースが使えるメリットは大きい。
ただし、良いこと尽くめというわけではない。ビジネスの複雑さとセキュリティのコストは比例する。従来の環境は静的であったために保護も比較的容易であったが、クラウドのようなダイナミックな環境では同様にはいかない。
クラウドでは、管理を含めた各種操作はWebインタフェースを通して行うのが一般的だ。実際の処理は全く離れた場所で行なわれ、データもどこに保存されるかわからない。複雑な構成要素をブラックボックスするクラウドの利点は、セキュリティ的な観点から見れば全く別の様相を見せる。
例えば、ひとつのポートにいくつのホストが接続されているのか? どれだけのアプリケーションが動き、どれほどのユーザが利用しているのか? システムの実態を把握することが難しくなる。つまり、どこを守れば良いのか、サーバやデータセンターは本当にセキュアなのかといった点が分からなくなると同氏は指摘する。
仮想化マシンは物理マシンと同じ脆弱性を持つ
さて、クラウドの中核技術である仮想化環境に話を絞ってみよう。ハードウェアの上にVMのマネージャあるいはハイパーバイザがあり、その上でOSやアプリケーションが動く。そして管理システムが全体を統括するというのが全体の構成だ。
ここで重要なのが、多くの人が間違いやすいのだが、VM上で動作するOSやアプリケーションには従来の物理マシンとまったく同じ脆弱性があるということだ。当然ながら、物理マシンと同様に攻撃を受ける。またVMやハイパーバイザ、管理システムにも脆弱性があることを忘れてはならない。
可視化がメリットとされるクラウド・サービスであるが、物理的な接続という点では見えないサービスでもある。たとえば「IaaS」ではインフラ以外のものは見えるが、「SaaS」ではアプリケーションしか見えない。もちろん、見えない部分が増えることは決して悪いことではない。見えない部分が大きくても、信用できるベンダやサービスプロバイダに任せれば問題はない。ただし「見えない部分がある」ということは常に意識しておくべきだ。
従来は設備も物理的だったため、セキュリティ対策も分かりやすかった。しかし、仮想化によって検討すべき要素は爆発的に増える。ネットワークをどう監視するか。仮想マシンはどこで動作するのか。移動の把握はどうするのか。変更管理のポリシー、仮想マシンのパッチ、ハイパーバイザの信頼性、そして誰がセキュリティに責任を持つのか。当然ながら、これはクラウドにおいても同様だ。保管場所が分からないことは災害対策の面では有効な要素であるが、コントロールできないのは問題である。
見えないクラウドをどのように見るか
IBMでは、「IBM セキュリティー・フレームワーク」を提供している。セキュリティ・ガバナンス、リスクマネジメント、コンプライアンスの各要素に、「アイデンティティー管理」「データ保護・情報管理」「アプリケーション・プロセス」「ネットワーク・サーバ・エンドポイント」「物理インフラストラクチャー」を配置する。全体に対する共通ポリシー設定、イベント対応、レポーティングもある。これをクラウドに当てはめていくことで、必要な対策が鮮明になる。クラウド環境でも、以前からあるものですべて対策できる。
では、クラウド・コンピューティングと、その前提となる仮想化環境を守るためのセキュリティを考えてみよう。まずOSとアプリケーションでは、仮想化以前とまったく同じ脅威が存在する。また、仮想化マシン自体の脅威も複数存在する。特に注意すべきなのは、前述した仮想マシンの盗難であろう。逆に、攻撃者から勝手に仮想マシンを立ち上げられ、他の仮想マシンを攻撃されるという脅威もある。
VMマネージャやハイパーバイザにも脅威があり、特に「Single Point-of-Failure(SPOF)」を攻撃されると、仮想化環境は即時停止されてしまう。仮想化環境内のセキュリティも重要だ。ハイパーバイザへの攻撃も確認されており、ここを乗っ取られるとすべて乗っ取られてしまう。
仮想化のベースとなるハードウェアにも脅威が存在する。特に、ハードウェアにドライバを埋め込むことでOSの下位に悪意のあるハイパーバイザを挿入する「Blue Pill」は、結果としてすべてのデータをさらけ出してしまうため危険度が高い。さらに、管理システムにも脆弱性が存在する。この脆弱性を攻撃されると管理システムが十分に動作せず、仮想マシンの盗難などに悪用されてしまう。
大森氏によれば、現在の仮想化セキュリティは第1世代と呼ぶべき段階にあるという。ゲストVMそれぞれにセキュリティシステムをインストールしており、VLANによるネットワークのセグメント化やスタンドアロンなセキュリティアプライアンスの利用が一般的だ。
しかし、現状のままでVMの管理に限界がある。立ち上がった仮想マシンのパッチやシグネチャの管理が行き届かない上、冗長性のあるセキュリティ対策では大きなリソースを消費してしまう。ハイパーバイザへの依存性も高いため、仮想化環境にセキュリティを統合する必要がある。
次世代の統合セキュリティとは?
次世代のセキュリティになると、統合されたセキュリティVMという専用のVMを立て、個別の仮想マシンのセキュリティを一括管理できるようになる。さらにハイパーバイザにVMSafeのようなAPIを使用することで、ハイパーバイザ自体をセキュアにすることも可能だ。IBMの仮想化セキュリティのロードマップでは、2009年の第1四半期に仮想化アプライアンスを発表しており、第4四半期には統合化セキュリティ「Phantom」プロジェクトの製品群が発売される予定だ。
Phantomプロジェクトによる仮想化環境の統合セキュリティでは、セキュアVMがすべてを監視するようになっている。これにより、仮想ネットワークの再構成の必要がなくなる。ゲストOSへのエージェントも不要となる。エージェントレスのため管理オーバーヘッドを低減でき、ファイアウォールや、PAMをベースにした不正侵入防御、アンチ・ルートキット機能などを搭載する。セキュアVMの仮想ネットワーク・アクセス制御(VNAC)では、仮想マシンの中身をチェックしないとネットワークに接続できないようにしている。このほかにも、さまざまな仮想化環境セキュリティ機能が用意されている。
そのほか、IBMのクラウド・セキュリティソリューションには、ストレージ・クラウドで使用するセキュリティ製品「PGP NetShare」がある。これは、ファイルサーバ上にあるファイルおよび経路を暗号化し、権限者以外は読めない状態にするもの。バックアップは行えるが中身は暗号化されている。
また、クラウドを使用したセキュリティソリューションには、SaaS型Eメール・セキュリティ「Eメール・セキュリティー・管理サービス」、SaaS型Webセキュリティ「MSS for Web Security」、SaaS型の脆弱性診断ツール「VMS(Vulnerability Management Service)」も提供している。
