クラウド時代のPCI DSS 第2回「仮想化の概要」 | ScanNetSecurity
2024.05.03(金)

クラウド時代のPCI DSS 第2回「仮想化の概要」

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。

特集 PCI DSS 対策研究所
facebookLINE
2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。

Information Supplement:PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

本稿では4回に分けて、このガイドラインに書かれている内容を紹介しています。なお、読み解くにあたり、誤訳や誤解がある可能性もあります。実際に何らかの判断をされる場合の正確な情報としては、上記の公式ドキュメントを参照していただきますよう、お願いいたします。また、翻訳は大部分が意訳となっているため、システムの設計や構築、運用に関する判断をされる際は、元文書を参考にしていただけますようお願いいたします。

「Virtualization Overview(仮想化の概要)」では、「仮想化とは何か」といった事について記載されています。仮想化、仮想技術については様々な定義があるかと思いますが、本書において、あらためて仮想化を定義しています。

2.1 Virtualization Concepts and Classes
ここでは、仮想化について「物理的な制約からコンピューティングリソースを抽象化すること」であり、近年は「workload」という用語が使われていること、仮想化はいわゆるVirtual Machine (以下VM)だけでなく、様々なworkloadがあると述べられています。workloadを辞書で引いてみると、「仕事量」、「業務上の負担」といったような訳が出てきます。仮想化を行うレイヤー、もしくは対象、くらいの意味で間違いはないでしょう。

そこで、仮想化を行う対象、つまりworkload毎に説明がされています。

・OS仮想化
単一の物理サーバ上で動作するオペレーティングシステムのリソースを複数の仮想環境、仮想サーバ、ゲスト、ゾーン等に分割するもの。この場合、全てのパーティション(部分)は下位にある同一のOSカーネル(ベースシステム)を使用する。

・ハードウェア/プラットフォーム仮想化
ハードウェア仮想化は、ハイパーバイザー技術を通じて実現される。それには2種類あり、タイプ1 ハイパーバイザーは、「native(ネイティブ)」もしくは「bare metal(ベアメタル)」といいハードウェア上で直接稼働し、ハードウェアリソースへのアクセスを整理する。タイプ2ハイパーバイザーは、既存のOS上で1アプリケーションとして稼働し、各VMに必要とされる物理リソースをエミュレートする。

・ネットワーク仮想化
ネットワークの仮想化は、物理ネットワーキングから論理ネットワーキングを分離する。ルータやファイアウォール、IPS、ロードバランサなど、ほぼ全ての種類のネットワーク機器が仮想アプライアンスとして利用可能。通常のスタンドアロンのホストと異なり、「Data plane」、「Control plane」、「Management plane」の3つの「plane」を持つ。Data planeはホスト間のデータの伝送、Control paneはネットワーク機器間のトラフィックやネットワーク、ルーティング情報、Management planeは機器の管理を請け負う。

・データストレージ仮想化
データストレージの仮想化では、ネットワーク上の複数の物理ストレージ機器が1つのストレージ機器として使用する例等(SAN等)がある。データストアの文書化、管理をしようとする祭に、データが複数の場所に分散される点がひとつの重要な課題となる。

・メモリ仮想化
メモリの仮想化では、利用可能な物理メモリを複数のシステムから集約し、仮想化されたメモリの「pool(プール)」を作成し、システムコンポーネント間で共有する。

データストレージの仮想化と同様、複数の物理メモリリソースを1つの仮想リソースとすることにより、データの保管場所の文書化をする際には課題となる。

目新しい事が書いてあるわけではありませんが、「データの保管」に関するものとして、ストレージやメモリの仮想化の際には単一のデータが複数の物理的な拠点(機器)に分散してしまうという点がひとつの重要なポイントとなりそうな事がわかります。

(NTTデータ先端技術株式会社 CISSP 川島祐樹)

略歴:NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

NTTデータ先端技術株式会社
http://security.intellilink.co.jp/
PCI DSS徹底解説(川島氏連載)
http://security.intellilink.co.jp/article/pcidss.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  5. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  6. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  7. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  8. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  9. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  10. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

ランキングをもっと見る
ホーム 特集 PCI DSS 対策研究所 記事
TOP