プレスリリース

2009年12月15日

仮想化環境を守るセキュリティー・ソリューション

日本IBM（社長：橋本孝之、NYSE：IBM）は、x86サーバー向け仮想化ソフトウェアであるVMwareを利用した仮想化環境おいて、仮想化環境に特有の脅威を防御し、アプリケーションのみならず、仮想化されたシステム全体を守るセキュリティー・ソリューション「IBM® Virtual Server Security for VMware（以下、VSS for VMware）」を本日から提供します。

近年、コスト削減や容易な管理を目的に、ITインフラは1台の物理サーバーの中に複数の仮想的なサーバーを稼働させる仮想化環境が進んできており、今後ますます増加すると予想されています。しかし、セキュリティーの観点からは、仮想化環境ならではの新たな脅威が生まれています。

仮想化環境では、1台の物理的なサーバーを「仮想マシン」と呼ばれる論理区画に分割し、全ての仮想マシンが「ハイパーバイザー」と呼ばれる基盤上で稼働するため、仮想マシン間は物理ネットワークを必要とせずハイパーバイザーを介して通信ができ、また、仮想マシンは容易に新規構築やオン・オフの切り替えができます。

このような特長を持つ仮想化環境に特有の脅威として、まず始めに、仮想マシン間の通信は、ハイパーバイサー上の仮想ネットワークで行なわれるため、ファイヤーウォールやIPS（不正侵入防御装置）といった物理的なネットワーク・セキュリティー装置を配置することができません。本日発表のVSS for VMwareは、民間企業世界最大級のIBMセキュリティー研究開発組織「X-Force®」が持つ豊富なノウハウに基づき開発した、あたかも実際の物理サーバーにパッチを適用した状態を作り出し、ウィルスやワームの攻撃からシステムを防御する「バーチャル・パッチ」機能を組み込んでいるため、ハイパーバイザー上の仮想ネットワークにおける仮想マシン間通信でも、不正侵入などを防ぐことができます。

もう1つのハイパーバイザー関連の脅威は、ハイパーバイザーに侵入し仮想化環境全体を自由に操ることを目的としたRootkit（ルートキット）と呼ばれる悪意のあるプログラムです。Rootkitは、まず最初に自身が侵入した痕跡を削除するため、通常のアンチウィルスソフトでは、検知や除去ができません。VSS for VMwareは、バーチャル・パッチ機能と同様、X-Forceが開発した、ハイパーバイザーに対するRootkitを検知し除去できる技術を組み込んでいます。

また、仮想マシンは、その構築やオン・オフが容易なため、例えば、株主総会用のアプリケーションなど年に1度しか使用しない仮想マシンを通常はオフにし、IT資源の有効活用を図ることができますが、セキュリティーの観点からは古いOSや、最新のセキュリティー・パッチを適用していないシステムが突然現れる危険性があります。VSS for VMwareは、休眠状態からオンされた仮想マシンや、新規に構築された仮想マシンなど、新たに稼働した仮想マシンを自動的に検知し、未知の仮想マシンや信頼されていない仮想マシンなどを発見した場合、他の仮想マシンへ影響を与えないよう仮想ネットワークから隔離する機能を提供します。

さらに、仮想化環境では、全ての仮想マシンや仮想ネットワークを一元管理できるため、物理サーバー環境に比べてシステム管理者の権限が拡大しています。そのため、万が一、管理者権限を持つ人が悪意を持ってシステムに不正を働いた場合、被害が甚大であり、また、痕跡を消すことも可能です。VSS for VMwareは、管理者の操作を全て記録することにより、不正の抑止につながる機能を提供します。

なお、VSS for VMwareは、VMware社が信頼したパートナー企業のみに開示した「VMSafe API」という仕様に基づきIBMが開発したもので、ハイパーバイザー上で仮想マシンから独立して稼働します。お客様は、それぞれの仮想マシンにおいて作業をする必要がないため、仮想化環境におけるセキュリティーを容易な管理で向上することができます。

本日発表のVSS for VMwareは、1台のVMwareサーバーに対し、682,000円から提供します。

VSS for VMwareの詳細は、以下のサイトからご覧いただけます。
http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1333935