日本アイ・ビー・エム(以下、日本IBM)は2009年12月15日、x86サーバー向け仮想化ソフトウェアであるVMwareを利用した仮想化環境おいて、仮想化環境に特有の脅威を防御し、仮想化されたシステム全体を守るセキュリティ・ソリューション「IBM Virtual Server Security for VMware(以下、VSS for VMware)」の提供を同日より開始すると発表した。
仮想化環境では、1台の物理的なサーバーを「仮想マシン」と呼ばれる論理区画に分割し、すべての仮想マシンが「ハイパーバイザー」と呼ばれる基盤上で稼働するため、仮想マシン間は物理ネットワークを必要とせずハイパーバイザーを介して通信でき、また、仮想マシンは容易に新規構築やオン・オフの切り替えができる。このような特長を持つ仮想化環境に特有の脅威からシステムを守るソリューションが「VSS for VMware」である。
● 「バーチャル・パッチ」機能
仮想マシン間の通信は、ハイパーバイサー上の仮想ネットワークで行われるため、ファイヤーウォールやIPS(不正侵入防御装置)といった物理的なネットワーク・セキュリティ装置を配置することができない。そこで「バーチャル・パッチ」機能は、あたかも実際の物理サーバーにパッチを適用した状態を作り出し、ウィルスやワームの攻撃からシステムを防御する。それにより、仮想マシン間通信でも不正侵入などを防ぐことができる。
● Rootkitの除去技術
もう1つの脅威として、ハイパーバイザーに侵入し仮想化環境全体を自由に操ることを目的としたRootkit(ルートキット)と呼ばれるプログラムがある。Rootkitは、まず最初に自身が侵入した痕跡を削除するため、通常のアンチウィルスソフトでは、検知や除去ができない。しかし、VSS for VMwareには、ハイパーバイザーに対するRootkitを検知し除去できる技術が組み込まれている。
● 危険な仮想マシンの隔離
仮想マシンは、その構築やオン・オフが容易なため、年に1度しか使用しない仮想マシンを通常はオフにしてIT資源を有効に活用できるが、同時に古いOSや、最新のセキュリティ・パッチを適用していないシステムが突然現れる危険性もある。VSS for VMwareは、休眠状態からオンされた仮想マシンや、新規に構築された仮想マシンなど、新たに稼働した仮想マシンを自動的に検知し、他の仮想マシンへ影響を与えないよう仮想ネットワークから隔離する。
● 管理者操作の記録
仮想化環境では、すべての仮想マシンや仮想ネットワークを一元管理できるため、物理サーバー環境に比べてシステム管理者の権限が拡大している。もし管理者が不正を働いた場合には、不正の痕跡を消すこともできる。そこで、管理者の操作をすべて記録する機能を提供し、不正を抑止する。
VSS for VMwareの提供価格は、VMwareサーバー1台に対し、68万2000円。
IBM Virtual Server Security for VMware
http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1333935
