仮想環境のセキュリティ課題
こんにちは、丸山満彦です。クラウドのセキュリティというとぼやけるので、ひとつは外部委託の課題、もうひとつは仮想環境の課題とわけたほうがわかりやすいかと考えています。特に仮想環境の課題は重要だと思う。
その点で、ラックの西本さんが1月25日にIPA、JPCERT/CC主催のセミナーで発表している、いわゆる「四次元攻撃」が参考になる。
■INTERNET Watch
・2010.01.25 仮想化の“神”による四次元攻撃の危険性、ラック西本氏が指摘
●パターン1
B社で感染したウイルスが、IP-VPNサービスを利用する他社であるA社にまで感染が広まった事例
=====
本来、IP-VPNは企業ごとに閉塞網になっているはずであり、それを超えて企業間でウイルス感染が起こるはずはないと考える。しかしこの事例では、サービスの稼動状況を監視しているIP-VPN事業者の管理ネットワークに感染したものが、他社にも広がったかたちだ。「専用サービスだと思っていることが盲点になっており、管理系統から火が回っている」。この事例は非常に単純なミスが原因だったらしいが、A社からしてみれば、自社専用だと思っていたネットワークから突然“四次元的な攻撃”を受けたことになる。「管理者はある意味“神様”だということを印象付ける事件だった」という。
=====
●パターン2
ホスティング会社X社が提供する仮想サーバーサービスを利用するA社がGumblar攻撃を受けサイトが改ざんされたが、B社の仮想サーバーまで全滅したという事例
=====
このように仮想サーバーが全滅するような原因について西本氏は、1)ホストコンピューター自身へのウイルス感染、2)ホスティングサーバーを一括管理する管理者PCへのウイルス感染、3)ホスティングサーバーの仮想ハブがリピーターレベルで稼働していたこと――という3つを挙げた。
とばっちりを受けた他の企業に悪い点はなく、例えば3)については、「悪いのは、ホスティング事業者が仮想ハブをスイッチに設定していなかったこと」。西本氏は、サービスの利用企業からはそのホスティング事業者がどのレベルまで適切に設定してくれているのか見えにくく、そこに事業を依存している現状は問題だとした。
=====
=====
西本氏は、仮想化サービスには管理者がおり、その管理者は何でもできる“神様”であると表現。サービス事業者の信頼性が重要となる反面、こうした性質について、利用企業が理解しつつも「徐々に慣らされている」とも指摘する。かつてアウトソーシングと言われた時代には厳格な契約を結んで行っていたのが、SaaSや、さらにクラウドと言われる時代になり、契約面やそのサービスがどのように稼働しているか想像もしなくなってきているという。西本氏は、仮想化が至るところで普及してくる過程で、仮想化サービスへの認識についてあらためて考える時期にきていると訴えた。
=====
おっしゃる通りですね。。。仮想環境のセキュリティ課題を整理することが重要だと思いますね。。。
Comments
こんなのつくってみました。
http://www.itresearchart.biz/Cloud/10Keio513.pdf
むしろ、網羅する時代は終わり、その潜在因子を探り出し、対応策を考えるべき時代ですね。isolationの問題は、むしろ、仮想化の技術論として整理されるべきでしょう。
3Dのプレゼンソフトつくってほしいなあと。>MS
Posted by: 高橋郁夫 | 2010.05.21 13:26
丸山 様
夏井です。
当然起こるべくして起きた事故ですね。実は,公表されていないだけで,もっとたくさんあります。
一般論としては,パブリッククラウドも人間が運営しているものなので,顧客数が増えるとどうしても手がまわらなくなってしまいます。
これは,ちょうど,「山野草の愛好家がどんどん鉢を増やしてしまうと,一定の(鉢数の)限界を超えたところから手がまわらなくなってしまって鉢の世話がずさんになり,ある日突然全滅してしまうことがある」というのと非常によく似た現象です。
法律論としては,ほとんどカオス状態です。「統制」というものを理解する能力がない,または,前提となる技術的知識が全くない法律家が日本ではあまりにも多過ぎて,はなしになりません。
経営者にしても何を言っても聞いてくれない人のほうが多いようです。議論をしたくないので,冷淡な目で黙って視ているだけにすることが多くなってしまいました。そして,「わけもわからずに経営者だと言って威張っている者が支配している会社などその程度の会社なのだから,いっそのこと倒産してしまうくらいひどい目にあったほうが良い」というのが最近の偽らざる実感です。そういう目に合うでもしない限り,私が主張していることが「あまりにも当然のことで,きちんと説明されれば小学生でも理解できるくらい簡単なことだ」ということを理解してもらえそうにないです。
パブリッククラクドは,社会を根本から破壊する元凶となり得るものです。
終末が近いかもしれませんね。
ちなみに,アウトソースの問題を別のカテゴリーとして考えることは可能だし,そうすべきだとも思ってきました。なぜなら,コンピュータとは全く無関係の業種についても完全に同じ問題が発生し得るからです。
ただ,そうやって別のカテゴリーの問題として検討してみると,現在のビジネス界全体を全否定するような結果にもなりかねませんね。政府が構築してきたアウトソースに関する行政監督の基本的枠組みもまた,おそらく根本から練り直さなければならないことになるでしょう。とはいっても,下請けとアウトソースの概念上の区別が全くできない人が多数存在することも事実です。したがって,この関係でも前途は非常に暗いです。
Posted by: 夏井高人 | 2010.05.21 13:58
高橋先生、コメントありがとうございます。
> 網羅する時代は終わり、その潜在因子を探り出し、対応策を考えるべき時代
総論ではなく、具体的なリスクについてその原因を掘り下げて考える手法(たとえば、Fault Tree Analy)なども活用していく必要があると思いますね。詳細リスク分析の一つの手法ですね。
Posted by: 丸山満彦 | 2010.05.22 05:53
夏井先生、コメントありがとうございます。
> 「山野草の愛好家がどんどん鉢を増やしてしまうと,一定の(鉢数の)限界を超えたところから手がまわらなくなってしまって鉢の世話がずさんになり,ある日突然全滅してしまうことがある」
実は、東京マンションで育てている観葉植物君たちでありました。全滅とまではいかなかった(多様性があり、もともと丈夫なものと丈夫ではない種類とあるので)のですが、一時続けて枯れていったことがあります。
まさにコントロールの範囲を超えたからです。それから新しいのを買わずに今の状態を維持することに注力している状況です。。。
> 政府が構築してきたアウトソースに関する行政監督の基本的枠組みもまた,おそらく根本から練り直さなければならないことになるでしょう。
そうですね。個人情報保護法のガイドラインを作っているときに「委託先の監督」の部分をつくるのが難しかったですね。。。おそらく条文起草時に想定されている委託先というのは、下請けなんですよ。なので、元請けは委託先を監督できるという発想です。はじめから破たんしているんですよね。一般的な建設業や自動車産業のように必ず元請けが巨大で下請けになるほど、規模が小さくなっていくという構造ではないわけです。家族でやっているような会社が、メールサーバーをグーグルに下請けに出すから管理しとっていわれてもね。。。契約に問題があれば、交渉しろってことですか。。。なので、委託先の管理ではないのですが、契約書等で個人情報保護法に違反しないことを確認しろということを書いています。わからなければ、使うなと。。。そういうことになりますね。。。
Posted by: 丸山満彦 | 2010.05.22 06:02
なるほどなるほど。
「外に出す」は「下請けに出す」だったわけですね。
クラウドサービスの場合は、「小さな会社が大きな会社に出す」のがほとんどのわけで・・・
Posted by: shita | 2010.05.22 19:28
shitaさん、コメントありがとうございます。クラウドサービスの場合は、「小さな会社が大きな会社に出す」のがほとんどですね。。。
Posted by: 丸山満彦 | 2010.05.23 10:07