仮想化セキュリティに「構え、撃て、狙え」は通用しない（CA Security Reminder）

CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

基幹系にまで及び始めた企業ネットワークの仮想化がはらむリスクに関して、CA Technologies の Russell Miller が解説する。

--前回は、HyTrust社の共同創業者であり社長を務めるEric Chiu氏との、仮想化セキュリティの現状に関する会話パート1をお届けしました。今日は、そのパート2です。

Q: 仮想化セキュリティに取り組む企業に何かアドバイスはありませんか？

A: 最大のアドバイスは、「構え、撃て、狙え」的なアプローチは避けよということです。「構え、撃て、狙え」とは、テスト/開発アプリケーションやその他の低重要度アプリケーションの仮想化から着手するものの、基幹系アプリケーションに対するセキュリティやコンプライアンスの要件を十分に理解して適切な対応をとらないまま、性急に重要性の高いアプリケーションへと仮想化を展開してしまうことを表しています。「何か深刻な状況が発生したり、セキュリティ要件を満足しない事が発覚しない限り仮想化プロジェクトが中断したりしないと、VMware運用チームはセキュリティやコンプライアンスのスタッフをプランニングに含めなかった」というのはよく聞く話です。

こうしたチームが前もって連携を強めていれば、より重要性の高いのワークロードに対するセキュリティのニーズを最初から理解し、満足することができたはずです。そうすれば、より多くのワークロードを迅速に仮想化し、大幅なコスト削減などを早期に実現できたでしょう。

Q: 企業には既存データセンタの防御は現状で十分だとの認識があって、そのために仮想化セキュリティのニーズが見過ごされていると思いますか？

A: 確かにそのような認識が一般的だと思います。間違った認識ではありますが。ただ、従来のセキュリティ対策が対応していない仮想化特有の脆弱性について説明すると、ほとんどのお客様がすぐに理解を示してくださいます。

例えば、VMwareユーザが偶然または意図的に深刻なダウンタイムといった被害を引き起こす場合、どのような状況で発生するのか「シナリオ」を説明するのです。これは、レガシーのアクセス制御の有無には関係ありません。仮想化の専門家なら、言わんとするところを汲みとり、基幹系ワークロードにどのような影響があるかを理解してくれます。中には、「うちの特権ユーザは全員100%信頼できますし、損害につながるような間違いもしません」という人もいるのですが、問題は、コンプライアンスの監査人やCSOはそこまで人を信用する人たちではないということです。

Q: 監査人の話が出たところでお聞きしますが、仮想化はコンプライアンス監査にどのような影響を与えるのでしょうか？

A: コンプライアンスにおいては、機密データへのアクセスに関わるユーザ行動の追跡そして当然ながらその制御が大きな部分を占めています。実際、PCI、HIPAA、FISMA、SOX に限らず主要な法令すべてにおいて、アクセス制御は主要エレメントの1つとなっています。アクセス制御は、従来型データセンタ同様、仮想化された重要性の高いワークロードにも必要なのです。

監査人の要件を満足するためには、管理者が試みたオペレーションのすべてをログに残し、全ての行動を特定の特権ユーザに紐づける必要があります。また、全vSphere ホストからのあらゆるログを統一フォーマットでコンパイルするのを自動化する必要もあります。

VMware プラットフォームではこうしたことができないと気付いている人は多くありません。監査やコンプライアンスの標準データのうち、現在どれだけのものが入手できていなのか目の当たりにすると、本当に驚かされます。各レコードに固有のユーザIDだけでなく、管理者リクエストで拒否/失敗リクエストとなったもの、ソースIPアドレス、仮想スイッチのようなリソースの構成にまつわる基本的な詳細情報などのログはないのです。

さらに困ったことに、プラットフォームのログの仕組みは、Direct-to-Hostの管理者接続といった様々な方法で簡単に迂回することができます。また、vCenterだけでなく全ESX/ESXiホストから手作業でログデータを集約するのは大変なことです。これまで入手できなかったコンプライアンスデータをすべて捕捉してコンパイルできるというのは、CA ControlMinder for Virtual Environmentsの最大のセールスポイントの1つです。

Q: ここまで、仮想化セキュリティで「すべきこと」「してはいけないこと」の要点について話してきました。以前、4つの「不可欠」なセキュリティ機能にもとづいた戦略や枠組みの概要について説明なさいましたが、4つの「不可欠」なセキュリティ機能とは何でしょうか？

A: 4つの「不可欠」なものとは、エンタープライズが安全なクラウド・インフラストラクチャを構築するために必要だと業界のアナリストや専門家が推奨する、仮想最適化ソリューション群です。4つの分野は、アクセス制御とアカウント管理、ネットワークおよびエンドポイントのセキュリティ、構成管理とハードニング、SIEMとログ管理です。

これら4分野は、コーポレート・ガバナンス、セキュリティ、法令コンプライアンスの各要件を満足するために必要とされる基本的な制御や保護を提供するうえで鍵となるものです。お客様は、これらすべての機能を必要としており、データセンタの仮想化が進むなか、特にこうしたニーズに対応する仮想最適化ソリューションを探しているのです。こうすることで、仮想化されたクラウド環境に固有の性質やダイナミクスにソリューションがきちんと対応し、より高い効率性と集約性を提供するための最適化を行うことができるのです。

物理的な「隙間」が仮想化のROIメリットを低減させてしまうことを考えると、今後、多くの企業がマルチ・テナントなクラウド環境でデータセンタの集約を推進する必要が生じてきます。これをソフトウェアが定義されたデータセンタへの移行の動きと組み合わせると、ニーズのすべてに応えるためには、セキュリティを自動化し、ポリシー・ドリブンにしなければならないのです。

（Russell Miller）

筆者略歴：CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括