|
 |
 |
|
|
第5回 仮想化技術と物理層セキュリティ |
|
VMware、Hyper-V、Xen Desktopなど、今は仮想化技術花盛りの時代であり、そのメリットがとても強調されています。しかし、仮想化技術はメリットだけを見ていれば良いものなのでしょうか?今回は、仮想化技術を活用するにあたって注意したい、セキュリティ上のポイントについて紹介したいと思います。
その前に、仮想化技術について少しだけおさらいをしておきましょう。通常、コンピューターでアプリケーションを利用するとき、ハードウェアとソフトウェアのセットが必要となります。そこで、私たちはコンピューター(ハードウェア)を購入し、OSやアプリケーションをハードウェアにインストールして、コンピューターを利用する、というステップを踏んでいます。これに対して、仮想化技術とは物理的なコンピューターの中に物理的なコンピューターがあるかのような状態を作り出し、そこでOSやアプリケーションを動作させるという仕組みのものです(図1)。このような仮想化技術の仕組みにより、物理的なハードウェアの数を少なくして、多くのOSやアプリケーションを使えるというメリットを享受できるわけです。 |
|
図1:左は仮想化技術を利用しない場合のコンピューターの起動状況、右は仮想化技術を利用した場合のコンピューターの起動状況(サーバー仮想化の場合) |
|
図2:多層防御のカテゴリ一覧 |
セキュリティの世界には、多層防御と呼ばれる考え方があります。
世の中には、さまざまな攻撃手法が存在するため、あらゆる攻撃から
身を守るために単一の防御策ではなく、複数の防御策を組み合わせて
実装するというものです。
多層防御には、いくつかのカテゴリがあり(図2)、これらのカテゴリ
ごとに対策を講じるというのが一般的な対策になっています。
図2を見ると、カテゴリのひとつに「物理層」というのがあります。物理層とは、物理的にコンピューターに触れることができる状態から生まれるトラブル(インシデント)に着目し、対策を講じるというカテゴリです。具体的なインシデント例として次のものがあります。
 |
|
| これらの攻撃は物理的にコンピューターに触れることができるのが前提です。こうした攻撃には、サーバールームに鍵をかけて、誰でも触れることができないようにする、といった対策があります。しかし、仮想化されたOSの場合はどうでしょう?仮想化されたOSにはそもそも物理層がありません。仮想化されたOSにとってのハードディスクとは単一のファイルでしかありません(図3)。そのため、物理的にコンピューターに触れることができなくても、仮想OSのハードディスクファイルにアクセスすることができれば、ハードディスクを抜き出してデータを盗むという攻撃に相当することができるわけです。 |
|
図3:仮想化技術を利用した場合のデータの保存場所。仮想化技術を使用している場合、ハードディスクに保存されるデータは単一のファイルに集約される |
|
| このように、仮想化技術に代表される新しいテクノロジーが登場したとき、セキュリティ対策として行うべき事柄も当然変わってきます。折しも、2011年はサイバー攻撃によって多くの企業システムが被害をこうむった一年でもありました。どうやら、私たちが実装してきたセキュリティ対策ももう一度考え直すべき時が来ているのではないか?このように私としては思うのです。 |
|
|
|
 |
|
