このページの本文へ

脆弱性が容易に拡がる仮想化・クラウドを守る

セキュリティもクラウドの柔軟性に追いつけ!マカフィーが新製品

2015年05月27日 06時00分更新

文● 高橋睦美

  • この記事をはてなブックマークに追加
  • 本文印刷

クラウド環境の普及に伴い、その脆弱性もまた課題となりつつある。つい先日には、ゲストOSから抜け出すことができてしまう脆弱性「VENOM」が公表されたばかりだ。マカフィーはこうした仮想化やクラウドに対応した新製品をリリースする。

脆弱性が容易に拡がる仮想化・クラウドの危険性

 マカフィーのマーケティング本部 テクニカル・ソリューションズ ディレクターのブルース・スネル氏は、仮想環境では容易にクローンを作成できるがゆえにこうした脆弱性の影響が広がる恐れがあること、また対策が進みつつあるオンプレミス環境を直接狙う代わりに、パブリッククラウド上のサーバーが「水飲み場攻撃」の足がかりとなり、侵入に悪用される恐れがあることなどを説明した。

マカフィー マーケティング本部 テクニカル・ソリューションズ ディレクターのブルース・スネル氏

 さらにスネル氏は、「多くの組織でシャドーITの存在が指摘されている。たとえば開発用仮想マシンをクラウド用に作成し、そのまま放置するなど、管理者に把握されないまま放置されている仮想マシンは少なくない。仮想マシンの拡張のペースにセキュリティが追いつけていない」と述べた。こうした放置VMを可視化し、物理サーバーと同程度の保護と管理を提供していくことが必要だと言う。

 こうした状況を踏まえてマカフィーは5月25日、パブリッククラウドおよびプライベートクラウド向けのセキュリティ製品、2製品を発表した。これにより、物理環境と同レベルの保護を仮想環境にも提供し、かつ同一のコンソールから管理できる仕組みを整えるという。

パブリッククラウドと連携する「McAfee Public Cloud Server Security Suite」

 新製品のうち「McAfee Public Cloud Server Security Suite」は、Amazon Web Services(AWS)やMicrosoft Azure、あるいはOpenStackベースのパブリッククラウドサービス向けのサーバーセキュリティスイートだ。これまでオンプレミスのサーバーに向けに提供してきたマルウェア対策やファイアウォール、不正侵入防止(IPS)や改ざん防止、暗号化といった機能を、パブリッククラウド上のインスタンスに対して提供する。専用のコネクタをインストールすることで、マカフィーの統合セキュリティコンソール「ePolicy Orchestrator(ePO)」の画面で一元的に管理可能だ。

 特徴の1つとして、PuppetやChef、OpsWorksといった自動プロビジョニングツールと連携できることが挙げられる。ビジネス上のニーズに応じて柔軟にリソースを増減できることがクラウドのメリットだが、その度に手動でセキュリティ設定を適用するのは面倒だ。そこで、こうしたプロビジョニングツールの「ゴールドマスター」のイメージにMcAfee Public Cloud Server Security Suiteのセキュリティ機能を組み入れておくことで、あとはePOの画面から簡単に展開し、セキュリティも含めた設定を自動的に行なえる仕組みだという。

 McAfee Public Cloud Server Security Suiteは、保護対象となるサーバーインスタンスの合計仮想CPU数と年間使用時間に応じた課金モデルを採用する。たとえば仮想2CPUを搭載したサーバーを10インスタンス、24時間連続で1年間稼働した場合、150万6720円(税別)となり、6月1日から提供を開始する。

VMware NSXとも連動する「Intel Security Controller」

 もう1つの新製品「Intel Security Controller」は、主にプライベートクラウド向けの製品だ。クラウドオーケストレーションツールと連動し、「McAfee Virtual Network Security Platform」による仮想IPSアプライアンスを動的に展開し、ポリシーを適用できるようにする。たとえばWebサーバーを構築したならば、別途設定を行なうことなく、Webサーバー用のポリシーが適用されたIPSも自動的に構築され、保護されるというイメージだ。もちろん、仮想マシンが別の物理サーバー上に移動した場合には、セキュリティ機能も同時に追随する。

 当初サポートするのはVMware環境で、VMware NSXのマイクロセグメンテーション機能と連動し、マルウェアに感染した特定のホストを隔離するといったことも可能という。追って「Virtual Next Generation Firewall」による仮想ファイアウォール機能も同様にサポートする予定となっている他、OpenStack対応作業も進めており、2016年の早い時期にリリースできる見込みという。

 Intel Security ControllerはMcAfee Virtual Network Security Platformの顧客向けに、6月11日から無償で提供される。

マカフィーの仮想環境/クラウド向けセキュリティ戦略

 仮想化技術によって、サーバーやストレージといった要素は抽象化され、クラウドの単一コンポーネントとして利用できるようになった。同じことがセキュリティにも起こるかもしれないとマカフィーでは予想し、さまざまなセキュリティ機能を抽象化し、クラウドサービスの一部として、必要なときに柔軟に提供できる仕組みを整えていくという。

■関連サイト

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード