日本アイ・ビー・エムは3月11日、顧客を対象としたイベント「IBM セキュリティー・コンファレンス2009」を開催した。同イベントでは、米IBM Vice President Technology and Office of ISS CTO Global Technology ServicesのStephen Wojtowecz氏が、仮想化とクラウド・コンピューティングのセキュリティに関する基調講演を行ったので、その要旨をお伝えしたい。

Web化によって変わるセキュリティ対策

米IBM Vice President Technology and Office of ISS CTO Global Technology Services Stephen Wojtowecz氏

「 ビジネスの変革とセキュリティー -仮想化とクラウド・コンピューティングにおける、セキュリティー課題とソリューション-」というテーマで、講演を行ったWojtowecz氏。同氏は、現在のセキュリティ課題として「WebブラウザとWebアプリケーション」を、将来のセキュリティ課題として「仮想化とクラウド・コンピューティング」を挙げた。

同社の調査によると、2008年に公開された脆弱性の54.9%がWebアプリケーションの脆弱性であり、2008年末時点で、その74%に対するパッチが提供されていないという。最も多かった脆弱性はSQLインジェクションで、過去6ヵ月以内で30倍にも増加している。

また、クライアントアプリケーションに関する脆弱性の調査では、Webブラウザの脆弱性が52%を占めているという。同氏は、文書閲覧・編集ソフトウェアが162%増加、マルチメディア・アプリケーションが127%増加している点に注意すべきだと警告した。

さらに、従来のセキュリティ対策は、クライアント・サーバシステムなど対象のインフラ構造が理解しやすく、攻撃手法が明確で境界防御が主体だが、現在はシステムのWeb化が急速に進んでいるため、通用しなくなっているという。「技術の進化とともに新たな形の防御策が必要となるが、新たな技術を活用する脅威も出てきており、新技術がボトルネックとなるおそれもあるのだ」(Wojtowecz氏)

仮想化とクラウド・コンピューティングにおけるセキュリティ

Wojtowecz氏は、これからのセキュリティを考える上でパラダイムシフトが必要だとして、その際にキーとなるテクノロジーが、仮想化とクラウド・コンピューティングと説明した。

同氏は、仮想化のセキュリティ上の問題点として、「ワークロードの分散に用いるシステムとこれらのセキュリティを担うシステムとの物理的な境界が曖昧になること」と「VMやイメージのソフトウェアスタック・構成の手動追跡がますます困難になること」を挙げた。「仮想化を行うことで、セキュリティを確保するために必要な事項は増える」

同社では、仮想化環境の防御に特化した製品を開発するプロジェクト「Phantom」を立ち上げている。同プロジェクトにおいて、仮想化されたワークロード向けの侵入防止を提供する仮想アプライアンス「Proventia G」などが提供されている。

また、各種ハードウェアやソフトウェアがどこに配置されているのかわからない状態で、コンピュータ・リソースを用いるクラウド・コンピューティングにおいては、「コントロールの低下」「コンプライアンス」「信頼性」「データ・セキュリティ」「管理」というセキュリティ上の課題があるという。

「インフラが他のユーザーと共用しているか、専用かどうかで、施すべきセキュリティ対策は変わってくる。また、データを国内に持つか、国外に持つかで適用される法規制が変わり、場合によってはクラウドの利用が禁止される場合もあるのだ」(Wojtowecz氏)

同社は、コンサルティング・製品・サービスの3分野から、クラウド・コンピュティーングのセキュリティ対策 を提供していく。今後提供予定のコンサルティングには「クラウド・アセスメント・サービス」、「クラウド・ペネトレーション・テスト」などがあり、また、同様の製品には、「仮想化環境でのセキュリティ統合製品」、「サーバ・プロテクション統合」などがある。