「サーバー仮想化環境では、ハイパーバイザーにシステムやネットワークに関する高い権限が集中する。ハイパーバイザーの管理者アカウントは慎重に制御すべきだ」。ネットワンシステムズは2011年12月5日、「PCI DSSに関する最新情報と情報セキュリティ最新動向」とする説明会を開催。同社サービス事業グループプロフェッショナルサービス本部フェローの山崎文明氏がサーバー仮想化のセキュリティについて、今年6月に発行されたPCI DSSの仮想化ガイドラインに基づいて解説した(写真1)。
「仮想化環境では今まで存在したセキュリティリスクはそのまま残り、新たに特有のセキュリティリスクが追加される」(山崎フェロー)。一つの物理筐体に複数の仮想マシンが搭載されることや、ハイパーバイザー層が追加されることに伴う問題が大きい(写真2)。運用管理が複雑になるという点も課題だ。PCI DSSのガイドラインではこれらのリスクに対する対応策を示してる。山崎フェローはポイントを三つにまとめて解説した。
一つめは仮想化の運用ルールの作成と周知である。作成した仮想マシンが放置されることや、野放図に仮想マシンのコピーが作成されることを構成管理や変更管理のルールで防止する。特に休眠中の仮想マシンの管理に注意すべきという。「テスト用の仮想マシンが、テスト終了後に放置されていることがよくある。そうした仮想マシンはセキュリティパッチが当たっておらず、危険な状態にある可能性が高い」(山崎フェロー)。
二つめはハイパーバイザーの管理者権限の管理強化だ。ともすると、ハイパーバイザーの管理者にはシステム管理者、ネットワーク管理者の両方の権限が集中する。そのため、ハイパーバイザー管理者のアカウントを悪用された場合の被害は大きくなってしまう可能性が高い。そこで、サーバー管理とネットワーク管理の職務を分離したり、役割ベースのアクセス制御を実施したりすべきとした。
ハイパーバイザーやその管理者アカウントの強化も有効だ。アカウントへのログインを二要素認証にしたり、ハイパーバイザーのセキュリティパッチ適用を即時実施したり、デフォルト設定を変更してセキュリティを重視した設定に変えたりといった方法を示した。
三つめは、同一のハイパーバイザー上にセキュリティレベルの異なる仮想マシンを置かないという原則にすることである。ハイパーバイザーに脆弱性が存在すると、すべての仮想マシンが同一のセキュリティレベルになってしまうからだ。PCI DSSのガイドラインでは、クレジットカード番号を扱う仮想マシンと扱わない仮想マシンは、物理的に異なるサーバー、ネットワークセグメントに置くべきとしている。
同様の発想で、重要なシステムコンポーネントも物理的に分離すべきという。例えば、ログを生成する仮想マシンとログを取得・保存する仮想マシンを分離させたり、暗号化を行う仮想マシンと暗号鍵を管理する仮想マシンを分離させたりする。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
