安全な仮想化環境を構築するための5つの条件

この記事をシェア

ソフトウェアやプラットフォーム、そしてインフラなどを自社で保有せずにクラウド上の仮想化サービスとして利用することは、企業組織にとって今や重要な選択肢の1つだ。しかし一方でセキュリティへの配慮が十分でない場合、極めて危険性も高くなる。回避するためには何をすべきだろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

安全な仮想化環境を構築するための5つの条件

過去数年にわたって企業のテクニカルソリューションとして広く議論されている話題の1つに、仮想化というものがある。仮想化に関する技術は目覚ましく成長しており、どのような業種においても導入してみたいと思わせるだけの成熟レベルに今や到達している。こうした仮想化環境が一般化したのは、プロセッシングの性能とストレージの容量の劇的な変化によってハードウェア上の課題が解決されたからである。

また、インフラの仮想化そのものとは離れるが、例えば、コスト削減のような別の側面における利点もある。そのためもあって、インフラの仮想化は、ITチームの間では非常に人気の高いソリューションとなっている。こうした仮想化技術のさまざまな利点によって、クラウドという考え方には長所だけでなく短所もあるにもかかわらず、両者のつながりが深いために期待値がとても高いのである。

クラウドコンピューティングサービスのモデルには、ソフトウェアを提供するSaaS(Software as a Service)、開発環境を提供するPaaS(Platform as a Service)、サーバーや回線などインフラを提供するIaaS(Infrastructure as a Service)といった幾つかの選択があるが、いずれの場合であっても、ビジネスの継続性を危険にさらすような問題を回避するために、導入初期の段階からセキュリティに関するマネジメントを実際に組み込むことが重要となる。

IaaSモデルを選択したとしても、SaaSモデルと比べてもそれほど遜色のないセキュリティ体制を組むことは可能である。つまり、プライベートクラウドを使用した場合であっても、パブリッククラウドよりも信頼性の高い環境を構築することも可能なのである。以下では、そうしたセキュリティを高めるために確認すべき条件を5点に絞ってまとめてみた。

1 マネジメントにおけるパラダイムシフトの採用

インフラ基盤を仮想化へと移行させた場合のメリットとデメリットを慎重に分析した後には、この変更がどういった変化をもたらすのかを認識することが、実際に仮想化環境を管理することになるチームにとって非常に重要になる。

仮想化に伴うさまざまな変更は、ユーザーにとってはほとんど体感できるものではないものの、管理を担当する人々にとっては適切な方法で対処しなければならない。それゆえ、管理者たちは、仮想化独特のセキュリティを習得する必要がある。そして、セキュリティ管理チームは新たなリスク評価を行い、新たな脅威に対する管理対策をアップデートしなければならないのである。

2 新しいインフラモデルと変わらぬ脅威

インフラ管理の新しいモデルの導入は、ITチームにとっては頭の痛い話ではあるが、逃げることのできない脅威と恒久的に向き合うことになる。脅威とは、不正コード、そして、脆弱性の悪用、この2点のみである。ただしこの2点は常に視野に収めておかなければならないものである。

サーバー、コンピューター、そしてアプリケーションなどが物理的に存在しなくても、アップデートや制御に関する対策は実行し続けなければならない。たとえSaaSモデルを用いているとしても、これらの制御が継続して行われているのかどうか、常にプロバイダーに確かめる必要がある。

3 アクセス制御を定式化し直す

サービスの仮想化もしくはインフラ基盤の仮想化を導入することは、情報アクセスに関してかなり顕著な柔軟性をもたらす。これはビジネス上非常に大きなメリットとなるが、同時に、データへのアクセス制御について企業内で検討しなければならなくなる。その際には、2要素間の認証システムを導入が基本である。さらに、その他の制御、例えばデータの暗号化も大事である。これらの制御によって、データに誰がアクセスしたとしても確認がとれるようになるため、企業のセキュリティが強化されることになる。

4 管理的役割を厳密に定義する

誰がシステムにアクセスできるのか、どこからアクセスできるのか、どのような権限を持つのか、誰が移動したりコピーの作成ができるのか……これらの質問には必ず回答が必要であるとともに、しっかりと決めなければならないことばかりである。仮想化は、エンドユーザーの使用面のみならず管理側にとってもメリットが出るように、システムやアプリケーションの一連の追加権限への配慮が必要になる。

5 異常検出のためのログ追跡

全く物理的にサーバーが存在しないからといって、セキュリティログの管理が全てなくなるということではない。実際、インフラ基盤内の全てのコンピューターを監視する代わりに、仮想化では、新たな監視システムで監視している。それをハイパーバイザー(または仮想化モニター、仮想化OS)と呼ぶ。また、サーバーやアプリケーションの状況をログでタイムリーに監視することは、外すことができない。なぜならば、そうした監視によって、情報セキュリティを侵害する脅威を検出し遮断する上での、決定的な情報が提供されるからである。

上述したこれら5点全てが、企業のITチームやセキュリティチームの共同作業によって実施されるべき課題とされなければならない。そして忘れてはならないのは、セキュリティの鍵となるのは常にエンドユーザーなのだ、ということである。

インフラ基盤の仮想化は、ユーザーにとってはそれほどインパクトのあるものではないとしても、新たに実装された仮想化がユーザーにどういったメリットとデメリットをもたらすのかについては、しっかりとした理解を促すべきである。

ソフトウェアであれインフラ基盤であれ、どのような次元であっても実装がうまくいくためには、通常のビジネス展開の場合に影響を与える全ての面にわたって包括的なアプローチを取る必要がある。特にインフラ基盤の仮想化を決定した場合には、セキュリティ面が副次的な扱いを受けることは一切あり得ない。

もしも導入の最初期の段階にコスト削減の結果、適切な対策がすぐに取れないという場合は、発生し得るインシデントがどのような影響を与えるのか、自分たちが保有するデータがビジネス上どれほどの価値を持っているのか、一度、自問自答しておくべきだろう。

この記事をシェア

仮想環境のセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!