SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Pulse Japan 2009 Autumn セッションレポート(PR)

クラウド環境におけるセキュリティの重要性とIBMソリューション

「Pulse Japan 2009 Autumn」セッションレポート

見えないクラウドをどのように見るか

 IBMでは、「IBM セキュリティー・フレームワーク」を提供している。セキュリティ・ガバナンス、リスクマネジメント、コンプライアンスの各要素に、「アイデンティティー管理」「データ保護・情報管理」「アプリケーション・プロセス」「ネットワーク・サーバ・エンドポイント」「物理インフラストラクチャー」を配置する。全体に対する共通ポリシー設定、イベント対応、レポーティングもある。これをクラウドに当てはめていくことで、必要な対策が鮮明になる。クラウド環境でも、以前からあるものですべて対策できる。

 では、クラウド・コンピューティングと、その前提となる仮想化環境を守るためのセキュリティを考えてみよう。まずOSとアプリケーションでは、仮想化以前とまったく同じ脅威が存在する。また、仮想化マシン自体の脅威も複数存在する。特に注意すべきなのは、前述した仮想マシンの盗難であろう。逆に、攻撃者から勝手に仮想マシンを立ち上げられ、他の仮想マシンを攻撃されるという脅威もある。

 VMマネージャやハイパーバイザにも脅威があり、特に「Single Point-of-Failure(SPOF)」を攻撃されると、仮想化環境は即時停止されてしまう。仮想化環境内のセキュリティも重要だ。ハイパーバイザへの攻撃も確認されており、ここを乗っ取られるとすべて乗っ取られてしまう。

 仮想化のベースとなるハードウェアにも脅威が存在する。特に、ハードウェアにドライバを埋め込むことでOSの下位に悪意のあるハイパーバイザを挿入する「Blue Pill」は、結果としてすべてのデータをさらけ出してしまうため危険度が高い。さらに、管理システムにも脆弱性が存在する。この脆弱性を攻撃されると管理システムが十分に動作せず、仮想マシンの盗難などに悪用されてしまう。

 大森氏によれば、現在の仮想化セキュリティは第1世代と呼ぶべき段階にあるという。ゲストVMそれぞれにセキュリティシステムをインストールしており、VLANによるネットワークのセグメント化やスタンドアロンなセキュリティアプライアンスの利用が一般的だ。

 しかし、現状のままでVMの管理に限界がある。立ち上がった仮想マシンのパッチやシグネチャの管理が行き届かない上、冗長性のあるセキュリティ対策では大きなリソースを消費してしまう。ハイパーバイザへの依存性も高いため、仮想化環境にセキュリティを統合する必要がある。

次世代の統合セキュリティとは?

 次世代のセキュリティになると、統合されたセキュリティVMという専用のVMを立て、個別の仮想マシンのセキュリティを一括管理できるようになる。さらにハイパーバイザにVMSafeのようなAPIを使用することで、ハイパーバイザ自体をセキュアにすることも可能だ。IBMの仮想化セキュリティのロードマップでは、2009年の第1四半期に仮想化アプライアンスを発表しており、第4四半期には統合化セキュリティ「Phantom」プロジェクトの製品群が発売される予定だ。

 Phantomプロジェクトによる仮想化環境の統合セキュリティでは、セキュアVMがすべてを監視するようになっている。これにより、仮想ネットワークの再構成の必要がなくなる。ゲストOSへのエージェントも不要となる。エージェントレスのため管理オーバーヘッドを低減でき、ファイアウォールや、PAMをベースにした不正侵入防御、アンチ・ルートキット機能などを搭載する。セキュアVMの仮想ネットワーク・アクセス制御(VNAC)では、仮想マシンの中身をチェックしないとネットワークに接続できないようにしている。このほかにも、さまざまな仮想化環境セキュリティ機能が用意されている。

 そのほか、IBMのクラウド・セキュリティソリューションには、ストレージ・クラウドで使用するセキュリティ製品「PGP NetShare」がある。これは、ファイルサーバ上にあるファイルおよび経路を暗号化し、権限者以外は読めない状態にするもの。バックアップは行えるが中身は暗号化されている。

 また、クラウドを使用したセキュリティソリューションには、SaaS型Eメール・セキュリティ「Eメール・セキュリティー・管理サービス」、SaaS型Webセキュリティ「MSS for Web Security」、SaaS型の脆弱性診断ツール「VMS(Vulnerability Management Service)」も提供している。

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Pulse Japan 2009 Autumn セッションレポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/2007 2010/05/11 11:51

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング