IT Minute:セキュリティビジネス分野にVMwareが進出という噂は本当か?
MacDonald氏が仮想化テクノロジの活用を検討中の企業に対して推奨しているのは、外部からの攻撃に対してハイパーバイザやゲストオペレーティングシステムをいかにして防御するかを共同で検討することである。もっともMacDonald氏はハイパーバイザに脆弱性があることは認めつつも、この危険性については誇張され過ぎているのではという疑問を呈している。
こうした見解については、Virtual Iron Softwareの創業者であるAlex Vasilevsky氏も同様の主張を行っている。「つまり、ゲストオペレーティングシステムにとっての最大の脅威は、通常のネットワークトラフィックだということです」
「弊社Virtual Ironの仮想化製品では真のベアメタル(bare metal)なハイパーバイザを使用しています」と同氏は語る。「このハイパーバイザはハードウェア上で直接動作するシンレイヤ(thin layer)ソフトウェアに仕上がっており、IntelおよびAMDプロセッサの能力を最大限に引き出せるため、効率的かつ安全にオペレーティングシステムの仮想化が行えるようになっています。オペレーティングシステムは仮想マシンで実行され、これをハイパーバイザ上で動作させるようにしているので、両者を接続するインタフェースは最小限化されています。このことは、無数のAPIを仲介する従来型のオペレーティングシステムとは異なり、外部からの攻撃を受ける可能性のある露出部が高度に局限化されていることを意味します」
ハイパーバイザに対するVirtual Ironの設計思想の恩恵としてVasilevsky氏が語るところを信じるならば、「現在のところ、その攻略に成功した事例は存在しません。また複数の仮想マシンが完全に切り離された状態で動作するようになっているため、ハイパーバイザを介して相互に影響し合うこともありえません」ということになる。
Vasilevsky氏は、Determinaの提供している“LiveShield”および“Memory Firewall”というテクノロジについても触れており、これらと同様にその場でセキュリティホールにホットパッチを当てたり、メモリ操作に対してシステムを防御する技術は既に各種確立していると語っている。「例えば、ハイパーバイザからはゲストによるメモリアクセスをすべて監視できるので、任意のゲストに対するメモリアクセスのトラフィックを制御することも簡単に行えます」
Vasilevsky氏が強調しているのは、仮想化関連のテクノロジが今後どれだけ発展しようとも「従来型のセキュリティに関するベストプラクティスの重要度が揺らぐということはあり得ません」ということだ。
「その一方で、仮想化テクノロジによってセキュリティが向上するという分野も、確かに存在するはずです。特にアプリケーションの実行環境の確立やサンドボックス化については多大な貢献をもたらすでしょう。また、ゼロデイ攻撃の手口すら再現できる仮想化テクノロジは、コンピュータフォレンジックス(computer forensics)の用途に最適なものであって、不正アクセスのターゲットとなる囮のハニーポット(honeypot)を仮想的に用意して、セキュリティ突破の手口を収集して解析するということができます」
ITManagersJournal.com 原文