クラウド時代のPCI DSS 第2回「仮想化の概要」 | ScanNetSecurity
2024.05.10(金)

クラウド時代のPCI DSS 第2回「仮想化の概要」

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。

特集 PCI DSS 対策研究所
facebookLINE
2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。

Information Supplement:PCI DSS Virtualization Guidelines
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf

本稿では4回に分けて、このガイドラインに書かれている内容を紹介しています。なお、読み解くにあたり、誤訳や誤解がある可能性もあります。実際に何らかの判断をされる場合の正確な情報としては、上記の公式ドキュメントを参照していただきますよう、お願いいたします。また、翻訳は大部分が意訳となっているため、システムの設計や構築、運用に関する判断をされる際は、元文書を参考にしていただけますようお願いいたします。

「Virtualization Overview(仮想化の概要)」では、「仮想化とは何か」といった事について記載されています。仮想化、仮想技術については様々な定義があるかと思いますが、本書において、あらためて仮想化を定義しています。

2.1 Virtualization Concepts and Classes
ここでは、仮想化について「物理的な制約からコンピューティングリソースを抽象化すること」であり、近年は「workload」という用語が使われていること、仮想化はいわゆるVirtual Machine (以下VM)だけでなく、様々なworkloadがあると述べられています。workloadを辞書で引いてみると、「仕事量」、「業務上の負担」といったような訳が出てきます。仮想化を行うレイヤー、もしくは対象、くらいの意味で間違いはないでしょう。

そこで、仮想化を行う対象、つまりworkload毎に説明がされています。

・OS仮想化
単一の物理サーバ上で動作するオペレーティングシステムのリソースを複数の仮想環境、仮想サーバ、ゲスト、ゾーン等に分割するもの。この場合、全てのパーティション(部分)は下位にある同一のOSカーネル(ベースシステム)を使用する。

・ハードウェア/プラットフォーム仮想化
ハードウェア仮想化は、ハイパーバイザー技術を通じて実現される。それには2種類あり、タイプ1 ハイパーバイザーは、「native(ネイティブ)」もしくは「bare metal(ベアメタル)」といいハードウェア上で直接稼働し、ハードウェアリソースへのアクセスを整理する。タイプ2ハイパーバイザーは、既存のOS上で1アプリケーションとして稼働し、各VMに必要とされる物理リソースをエミュレートする。

・ネットワーク仮想化
ネットワークの仮想化は、物理ネットワーキングから論理ネットワーキングを分離する。ルータやファイアウォール、IPS、ロードバランサなど、ほぼ全ての種類のネットワーク機器が仮想アプライアンスとして利用可能。通常のスタンドアロンのホストと異なり、「Data plane」、「Control plane」、「Management plane」の3つの「plane」を持つ。Data planeはホスト間のデータの伝送、Control paneはネットワーク機器間のトラフィックやネットワーク、ルーティング情報、Management planeは機器の管理を請け負う。

・データストレージ仮想化
データストレージの仮想化では、ネットワーク上の複数の物理ストレージ機器が1つのストレージ機器として使用する例等(SAN等)がある。データストアの文書化、管理をしようとする祭に、データが複数の場所に分散される点がひとつの重要な課題となる。

・メモリ仮想化
メモリの仮想化では、利用可能な物理メモリを複数のシステムから集約し、仮想化されたメモリの「pool(プール)」を作成し、システムコンポーネント間で共有する。

データストレージの仮想化と同様、複数の物理メモリリソースを1つの仮想リソースとすることにより、データの保管場所の文書化をする際には課題となる。

目新しい事が書いてあるわけではありませんが、「データの保管」に関するものとして、ストレージやメモリの仮想化の際には単一のデータが複数の物理的な拠点(機器)に分散してしまうという点がひとつの重要なポイントとなりそうな事がわかります。

(NTTデータ先端技術株式会社 CISSP 川島祐樹)

略歴:NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。

NTTデータ先端技術株式会社
http://security.intellilink.co.jp/
PCI DSS徹底解説(川島氏連載)
http://security.intellilink.co.jp/article/pcidss.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  2. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. 社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

    社内不正 1位 情報持ち出し・2位 横領・3位 労働問題 ~ 被害企業 230 社調査

  5. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  6. デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

    デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

    Proofpoint Blog 36回「身代金を払わない結果 日本のランサムウェア感染率減少? 感染率と身代金支払率 15 ヶ国調査 2024」

  9. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

  10. 経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

    経団連、個人情報保護法に基づく漏えい報告や本人通知にリソースを割く現状を問題視

ランキングをもっと見る
ホーム 特集 PCI DSS 対策研究所 記事
TOP