進化の鍵はRSAが握る、「VMware vSphere」のセキュリティはこう変わる

RSAカリーVPにVMwareとの協業を聞く

RSA プロダクトマネジメント&ストラテジー担当バイスプレジデントのサム・カリー氏

 5月に国内出荷が開始された「VMware vSphere 4」。同製品には「vShield Zones」というセキュリティ機能が実装されている。仮想マシンとハイパーバイザーの間のファイアウォールとして、危険なトラフィックを遮断するものだ。現状はVMware製ファイアウォールとしてのみ機能するvShield Zonesだが、この機能が今後、飛躍的な進化を遂げる可能性がある。

 鍵を握るのは、「認証」「ログ管理」「情報漏えい対策」といったセキュリティ技術を持つ米RSA。VMwareと協業し、vShield Zonesに順次セキュリティ機能を実装する計画を立てているのだ。

 今回はその内容について、RSA プロダクトマネジメント&ストラテジー担当バイスプレジデントのサム・カリー氏に話を聞いた。

vSphereのセキュリティはこう変わる

 EMCに統合されて以来、RSAではEMCのインフラ製品へセキュリティの統合を進めてきた。RSA プレジデントのアート・コビエロ氏が、「業界は共通の開発プロセスを採用し、独創的なコラボレーションを実現すべき。その結果、セキュリティは個別機能の集合としてではなく、インフラそのものに統合された包括機能として提供されるべき」との考えを提唱しており、統合はそれに沿ったものだった。仮想化インフラへの統合もその一環として計画されたもので、「仮想化は当社にとってもキーテクノロジーと位置付け、現在、仮想化ベンダとの取り組みを加速している」(カリー氏)という。

 そうした中でも、EMCという同じ親の下、兄弟関係にあるVMwareとの協業が発表されたわけだ。発表は4月のRSA Conference 2009にて行われた。

 RSAにて製品管理・戦略を任務とし、「SecurID」「情報漏えい防止(DLP)」「enVision」「リスクベース認証」を幅広く担当するカリー氏は、「vShield Zonesにはこれらの技術が段階的に実装されていく」と話す。

 「vShield Zonesでは、簡素化したセキュリティが実現されるだろう。短期的な目標としては、まずESX上で強固な認証を実現する。これは、特権ユーザーのアクティビティを監視したいというニーズに応えるもの。特権ユーザーがどういう情報にアクセスしたかを含めて管理できる機能を搭載するつもりだ」(同氏)。これがフェーズ1となる。

 フェーズ2では、リスクベース認証技術も統合する予定。リスクベース認証とは、ユーザーのトランザクションからリスクを評価し、危険だと判断されたときにより厳密な認証を実施する技術で、「RSA Adaptive Authentication(以下、AA)」という製品名で提供されている。

 「vShield Zonesでは、AAのリスク評価エンジンを引き出して、ユーザーの行動を学習する機能も含めて実装が予定されている」(同氏)。

 これにより、ユーザーと仮想マシン、あるいは仮想マシンと仮想マシンがやり取りする際に、実際にアクセスする場所や時刻、使われるシステムや仮想マシンの中にリスクパターンが見られないか監視が実現。リスクパターンが見られれば、通常のAAのように、認証を強化するといったアクションが可能になるという。

 さらにフェーズ3として、統合ログ管理を行うenVisionの統合も予定する。enVisionはあらゆるシステムからログを取得し、高度な相関分析を可能にする製品だ。「vShield Zonesでも同機能が実装されるほか、将来的には他機能との連携も予定。リスクベース認証に相関分析結果を絡めた評価も可能になる」(同氏)という。

 このほか、DLPの統合も予定。現状のステータスとしてはまだPoC(Proof of Concept:概念の実証)段階というが、これが成功すれば、仮想マシンとハイパーバイザー間で動作するvShield Zonesで情報漏えい防止も実現するかもしれない。

 RSAではこれらを段階的に進める予定で、現在は、フェーズ1の「認証」実装直前段階。「市場に投入されるのは、10月から12月となる見込みで、鋭意、品質テストを繰り返しているところだ」(同氏)という。

 なおvSphere 4には、拡張機能を連携させるための「VMsafe」という機能が用意されている。一部のメーカーにのみ公開される特殊なAPI群で、これを使うと各社のセキュリティ製品を連携させて、例えばアンチウイルスを仮想マシンごとにインストールしなくても、サーバー上に1つだけあればシステムを保護できるようになる。

 現在、Symantec、McAfee、CheckPoint、Trend Microなどが、VMwareからライセンスを受けてVMsafe対応のソフトを開発。今年の秋ごろには、各社のソフトがリリースされる見込みとなっている。利便性以外にも実用に求められる要素がどんどん充実し始めている仮想化技術。vSphereにおけるこれらの展開は、コビエロ氏が語る独創的なコラボレーションのプロローグといえるかもしれない。




(川島 弘之)

2009/7/17 11:00