仮想化セキュリティに「構え、撃て、狙え」は通用しない(CA Security Reminder) | ScanNetSecurity
2024.04.19(金)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

仮想化セキュリティに「構え、撃て、狙え」は通用しない(CA Security Reminder)

これら4分野は、コーポレート・ガバナンス、セキュリティ、法令コンプライアンスの各要件を満足するために必要とされる基本的な制御や保護を提供するうえで鍵となるものです。

特集 特集
CA Security Reminder は、コンシューマライゼーションが進行する企業情報システムの情報セキュリティとアイデンティティ管理について考えます。

基幹系にまで及び始めた企業ネットワークの仮想化がはらむリスクに関して、CA Technologies の Russell Miller が解説する。

--前回は、HyTrust社の共同創業者であり社長を務めるEric Chiu氏との、仮想化セキュリティの現状に関する会話 パート1をお届けしました。今日は、そのパート2です。


Q: 仮想化セキュリティに取り組む企業に何かアドバイスはありませんか?

A: 最大のアドバイスは、「構え、撃て、狙え」的なアプローチは避けよということです。「構え、撃て、狙え」とは、テスト/開発アプリケーションやその他の低重要度アプリケーションの仮想化から着手するものの、基幹系アプリケーションに対するセキュリティやコンプライアンスの要件を十分に理解して適切な対応をとらないまま、性急に重要性の高いアプリケーションへと仮想化を展開してしまうことを表しています。「何か深刻な状況が発生したり、セキュリティ要件を満足しない事が発覚しない限り仮想化プロジェクトが中断したりしないと、VMware運用チームはセキュリティやコンプライアンスのスタッフをプランニングに含めなかった」というのはよく聞く話です。

こうしたチームが前もって連携を強めていれば、より重要性の高いのワークロードに対するセキュリティのニーズを最初から理解し、満足することができたはずです。そうすれば、より多くのワークロードを迅速に仮想化し、大幅なコスト削減などを早期に実現できたでしょう。


Q: 企業には既存データセンタの防御は現状で十分だとの認識があって、そのために仮想化セキュリティのニーズが見過ごされていると思いますか?

A: 確かにそのような認識が一般的だと思います。間違った認識ではありますが。ただ、従来のセキュリティ対策が対応していない仮想化特有の脆弱性について説明すると、ほとんどのお客様がすぐに理解を示してくださいます。

例えば、VMwareユーザが偶然または意図的に深刻なダウンタイムといった被害を引き起こす場合、どのような状況で発生するのか「シナリオ」を説明するのです。これは、レガシーのアクセス制御の有無には関係ありません。仮想化の専門家なら、言わんとするところを汲みとり、基幹系ワークロードにどのような影響があるかを理解してくれます。中には、「うちの特権ユーザは全員100%信頼できますし、損害につながるような間違いもしません」という人もいるのですが、問題は、コンプライアンスの監査人やCSOはそこまで人を信用する人たちではないということです。


Q: 監査人の話が出たところでお聞きしますが、仮想化はコンプライアンス監査にどのような影響を与えるのでしょうか?

A: コンプライアンスにおいては、機密データへのアクセスに関わるユーザ行動の追跡そして当然ながらその制御が大きな部分を占めています。実際、PCI、HIPAA、FISMA、SOX に限らず主要な法令すべてにおいて、アクセス制御は主要エレメントの1つとなっています。アクセス制御は、従来型データセンタ同様、仮想化された重要性の高いワークロードにも必要なのです。

監査人の要件を満足するためには、管理者が試みたオペレーションのすべてをログに残し、全ての行動を特定の特権ユーザに紐づける必要があります。また、全vSphere ホストからのあらゆるログを統一フォーマットでコンパイルするのを自動化する必要もあります。

VMware プラットフォームではこうしたことができないと気付いている人は多くありません。監査やコンプライアンスの標準データのうち、現在どれだけのものが入手できていなのか目の当たりにすると、本当に驚かされます。各レコードに固有のユーザIDだけでなく、管理者リクエストで拒否/失敗リクエストとなったもの、ソースIPアドレス、仮想スイッチのようなリソースの構成にまつわる基本的な詳細情報などのログはないのです。

さらに困ったことに、プラットフォームのログの仕組みは、Direct-to-Hostの管理者接続といった様々な方法で簡単に迂回することができます。また、vCenterだけでなく全ESX/ESXiホストから手作業でログデータを集約するのは大変なことです。これまで入手できなかったコンプライアンスデータをすべて捕捉してコンパイルできるというのは、CA ControlMinder for Virtual Environmentsの最大のセールスポイントの1つです。


Q: ここまで、仮想化セキュリティで「すべきこと」「してはいけないこと」の要点について話してきました。以前、4つの「不可欠」なセキュリティ機能にもとづいた戦略や枠組みの概要について説明なさいましたが、4つの「不可欠」なセキュリティ機能とは何でしょうか?

A: 4つの「不可欠」なものとは、エンタープライズが安全なクラウド・インフラストラクチャを構築するために必要だと業界のアナリストや専門家が推奨する、仮想最適化ソリューション 群です。4つの分野は、アクセス制御とアカウント管理、ネットワーク およびエンドポイントのセキュリティ、構成管理とハードニング、SIEMとログ管理です。

これら4分野は、コーポレート・ガバナンス、セキュリティ、法令コンプライアンスの各要件を満足するために必要とされる基本的な制御や保護を提供するうえで鍵となるものです。お客様は、これらすべての機能を必要としており、データセンタの仮想化が進むなか、特にこうしたニーズに対応する仮想最適化ソリューション を探しているのです。こうすることで、仮想化されたクラウド環境に固有の性質やダイナミクスにソリューション がきちんと対応し、より高い効率性と集約性を提供するための最適化を行うことができるのです。

物理的な「隙間」が仮想化のROIメリットを低減させてしまうことを考えると、今後、多くの企業がマルチ・テナントなクラウド環境でデータセンタの集約を推進する必要が生じてきます。これをソフトウェアが定義されたデータセンタへの移行の動きと組み合わせると、ニーズのすべてに応えるためには、セキュリティを自動化し、ポリシー・ドリブンにしなければならないのです。

(Russell Miller)

筆者略歴:CA Technologies において、ネットワークセキュリティの分野で倫理的ハッキングから製品マーケティングまで様々な役割を務める。現在、CA ControlMinder および CA ControlMinder for Virtual Environments のマーケティング活動を統括
《ScanNetSecurity》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ
Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信
組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に 画像

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に
インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×