日本IBM、仮想化環境向けの「バーチャル・パッチ」機能など

　日本アイ・ビー・エム株式会社（日本IBM）は12月15日、VMwareの仮想化環境に特有の脅威を防御し、仮想化されたシステム全体を保護するセキュリティソリューション「IBM Virtual Server Security for VMware（以下、VSS for VMware）」の提供を開始した。

　VSS for VMwareは、仮想化環境に特有の脅威を防御して、仮想化システム全体を保護するセキュリティソリューション。ハイパーバイザー上で仮想マシンから独立して稼働するのが特徴で、ユーザーはそれぞれの仮想マシンで作業をする必要がないため、シンプルに仮想化環境のセキュリティを実現できるという。

　仮想化環境に特有の脅威としてまずは、ハイパーバイザー上の仮想マシン間通信において、ファイアウォールやIPSなどの物理的なセキュリティ装置を配置できない点を挙げる。これに対してVSS for VMwareでは、あたかも実際の物理サーバーにパッチを適用した状態を作り出してシステムを防御する「バーチャル・パッチ」機能を実装。仮想マシン間通信でも不正侵入などを防げるようにしている。

　次に、ハイパーバイザーに侵入し仮想化環境全体を自由に操るRootkit。これらは自身が侵入した痕跡を消すため、通常のアンチウイルスソフトでは検知・除去ができない場合があるという。そこで、ハイパーバイザーに対するRootkitを検知・除去できる独自の技術を組み込んだ。

　また、仮想マシンはその構築やON/OFFが容易なため、常用しない仮想マシンを普段はOFFにしておくケースがある。セキュリティの観点からは、OSやセキュリティパッチの古いシステムが突然現れる危険性があるので、休眠状態からONされた仮想マシン、新規に構築された仮想マシンを自動的に検知する機能を実装した。セキュリティに信頼が置けない場合は、仮想ネットワークから隔離することが可能という。

　さらに仮想化環境ではすべての仮想マシン・ネットワークを一元管理できる。このため物理環境に比べてシステム管理者の権限が拡大し、悪意を持ってシステムに不正を働いた場合、その影響は物理環境よりも甚大となる。これに対して、仮想化環境における管理者の操作をすべて記録する機能を組み込んだ。不正抑止効果のほか、不正の証拠を隠滅した場合も、操作内容をトレースすることが可能という。

　なお、VSS for VMwareは、VMwareがパートナー企業に開示した「VMsafe API」に基づいて開発された。価格は1台のVMwareサーバーにつき68万2000円から。