クラウド時代のPCI DSS 第4回「仮想環境のリスク」

2011年6月14日、PCI SSCより、仮想環境に関するガイドライン「Information Supplement: PCI DSS Virtualization Guidelines」が公開されました。

本稿では4回に分けて、このガイドラインに書かれている内容を紹介しています。なお、読み解くにあたり、誤訳や誤解がある可能性もあります。実際に何らかの判断をされる場合の正確な情報としては、上記の公式ドキュメントを参照していただきますよう、お願いいたします。また、翻訳は大部分が意訳となっているため、システムの設計や構築、運用に関する判断をされる際は、元文書を参考にしていただけますようお願いいたします。

Risks for Virtualized Environments（仮想環境のリスク）では、仮想環境特有のリスクについて解説されています。仮想環境におけるPCI DSS対応は、大原則は非仮想環境と同様という旨は先述の通りですが、その大原則の上で、仮想環境特有のリスクを追加で検討する必要があるという意味で、本文書の最も重要なパートであるといえるでしょう。

3.1 仮想環境内の物理環境における脆弱性
物理インフラストラクチャに対する攻撃や存在する脆弱性は、仮想化されたシステムやネットワークにおいても同様にあてはまる。また、仮想環境をどれほど安全に構築しようとも、十分な物理的対策も必要である。

3.2 新たな攻撃の側面を作り出すハイパーバイザー
仮想環境特有のリスクのうち最も重要な箇所は、ハイパーバイザーである。なぜなら、ハイパーバイザーが侵害を受ける、もしくは適切に設定されていない場合、その上で稼働する全ての仮想マシンはリスクにさらされているということになるからである。このように、当該環境が侵害されることで全体がリスクにさらされてしまうような箇所は単一障害点（Single Point of Failure, SPOF）と呼ばれる。どんなに仮想マシンを安全に設定、運用していても、ハイパーバイザーが適切に設定、運用されなければリスクは上書きされてしまうことになる。

このように侵害を受ける入り口となってしまうリスクもあるが、ハイパーバイザー自身も、（仮想環境ではない）通常の物理サーバでは存在しない攻撃の対象となり得る。ハイパーバイザーの持つ分離技術、アクセス制御、要塞化、パッチ等がそれにあたる。また、ハイパーバイザーのデフォルト設定はしばしば安全でない事もある。

これらのことから、ハイパーバイザーに対する最小権限の原則や、監視等の適用も非常に重要となる。

3.3 仮想化されたシステムやネットワークの複雑性の増加
仮想環境では、仮想マシンと仮想マシンの間でのデータの伝送など、システムとネットワークにまたがった実装となることがあり、仮想ネットワーク、仮想ファイアウォール等を経由することもあり得る。このような実装は運用上のメリットもある反面、システムは複雑になり、各レイヤーに対する追加のセキュリティ対策や複雑なポリシー管理が必要となることが考えられる。

複雑性の増加は、設定ミス等が増える可能性もあり、さらには仮想コンポーネントはしばしば複製されて利用されるため、脆弱性がひとつ見つかると非常に影響範囲が広くなってしまうことも考えられる。

3.4 物理システム上の複数機能の実装
仮想環境における懸念事項のひとつとして、ひとつの仮想システム機能が侵害を受ける事により、同一物理環境上のその他の機能にもその影響が及ぶ可能性がある点が挙げられる。仮想技術の中には、機能（仮想マシン）毎のプロセス分離を強制することでこのリスクを排除しようとするものもあるが、それでも１物理システム上で複数機能を持つ事は攻撃者がホストシステムへの物理アクセスを得る可能性を高めるため、安心してはならない。
※次節参照

3.5 異なる信頼性を持つVMの混在
カード会員データを持つような、高い信頼性の求められるシステムと、それ以外の高い信頼性が求められないシステムが同一の物理環境上にホストされるような場合、注意深くリスク評価を行う必要がある。つまり、高い信頼性が求められないシステムは、侵害を受ける可能性が高くなり、そこからさらに高リスクな侵害に広がってしまう可能性があるからだ。

ここでは、信頼性レベルの著しく異なる仮想マシンは、同一の物理環境に置く事は推奨できない、ととらえることができると筆者は考えています。

3.6 責務の分離の欠落
ネットワーク管理者とシステム管理者の分離など、ユーザの役割をきめ細かく定義することは非常に難しく、特に仮想環境においてはハイパーバイザーへのアクセスはスイッチ、ファイアウォール、決済アプリケーション、ログ収集サーバ、データベースなど広範囲のアクセス権をあたえ得る。単一の拠点もしくは一人のユーザからのアクセスを可能とすることから、適切な責務の分離の監視と強制が非常に重要である。

3.7 休止状態の仮想マシン
多くの仮想化プラットフォームでは、VMはアクティブ状態でも休止状態でも存在できる。休止状態のVMは活発に使用されない事からセキュリティ対策を見落としがちであり、例えば最新のパッチが適用されていないVMが再稼働することによって仮想環境へのバックドアにもなり得る。また、稼働中にカード会員データを受信したVMが休止状態になった場合に、認識していない、かつ安全でない状態での保管となり得る。このため休止状態のVMの管理にも注意を払う必要がある。

3.8 VMイメージとスナップショット
VMイメージやスナップショットを取得する際に、カード会員データを保持してしまっていると、気づかないうちにカード会員データを保管してしまうことになり、最悪の場合ネットワーク上で広くカード会員データを持ってしまうことにもなり得る。また、取得したスナップショットやイメージ自体も安全に保管しないと、攻撃者がアクセスし、脆弱性もしくは悪意のあるコードをイメージに注入することができるかもしれない。侵害を受けたイメージが環境全体に配置されてしまったら、複数ホストに被害が広がってしまう。

3.9 未成熟な監視ソリューション
仮想化が広まるのとともに、ロギングや監視の必要性は強まっているものの、現在のところ物理的な環境と比べて仮想環境の監視を行うツールは成熟しているとはいえない。ホスト内の通信や、仮想ネットワーク上のVM間のトラフィックは非仮想環境と同レベルの監視が求められるのと同時に、ハイパーバイザーや管理インタフェース等を含む仮想環境特有の詳細なログも必要とされる。

3.10 仮想ネットワークセグメント間の情報の漏出
ネットワークの仮想化を検討する際には、論理ネットワークセグメント間の情報の漏出のリスクに注意を払う必要がある。データ保護機構が回避されてしまえば、データが管理外の場所に漏出してしまう可能性があり、管理機構が侵害を受けてしまうとデータレベルでの情報の漏洩やネットワークベースのセキュリティ制御機構がバイパスされるようなネットワーク経路等への影響が発生する可能性もある。仮想環境でネットワークを分離する際は、物理ネットワークの時と同レベルのセキュリティ機能を提供するのがきわめて望ましい。

3.11 仮想コンポーネント間の情報の漏出
仮想環境では、同一ホスト上で稼働する仮想コンポーネント間での情報の漏出が起こり得る。たとえば攻撃者はひとつのコンポーネントを使って同一のホスト上で稼働するその他のコンポーネントの情報を収集し、さらなる侵害のための情報を得ることができるかもしれない。もしくは、ホスト側へのアクセス権を得ることで、そのホスト上で稼働する複数のVMが取り扱う機密情報を入手することができるかもしれない。VM間での情報の漏出を防ぐためには、すべての物理リソース（メモリ、CPU、ネットワーク等）の隔離を行う必要がある。

●おわりに

本書では、PCI SSCより公開されたInformation Supplement: Virtual-ization Guidelineに沿って、内容の解釈をすすめてきました。今回はかなり幅広く、用語や概念の定義からはじまり、リスクの洗い出しの部分まで読み解きました。

次回は、ここで洗い出されたリスクについて、どのような対策を行うべきなのか、Recommendations（推奨事項）の章に入っていきます。

単に仮想技術とはいっても、その概念や対象とする範囲など、かなり幅広くなってしまい、なかなか具体的な対策方法まで落とし込めない分野ではありますが、考え方のベクトルを示すひとつの参考になるはずですので、次回もあわせてお読みいただければ幸いです。

（NTTデータ先端技術株式会社　CISSP　川島祐樹）

略歴：NTTデータ・セキュリティ入社後、セキュリティ対策の研究開発から、セキュリティ製品の評価、サービス開発、導入、運用支援を実施。その後、PCIDSS公開当初から訪問調査を実施し、セミナーや書籍、記事の執筆など、PCIDSS普及促進も実施している。