virtualization.info 日本語

virtualization.infoが何度もお伝えしているが、「VMsafe API」の発表により、VMware社にはセキュリティ業界を再編するまたとないチャンスが訪れている。
しかし、IT業界においてVMware社が多くの市場セグメントで技術革新を推進するこのような特権的立場にいる限り、その課題と責任はほかの多くのベンダー各社を大きく上回るものとなる。

VMsafe構想はちょうど1年前に発表された。この12カ月間、新しいAPIで何ができて何ができないのかを実際に目の当たりにできたのは、VMware社が募集した限られた数のセキュリティパートナーだけだった。

VMsafeが「vSphere 4.0」プラットフォームの一部としてリリースされようとしていることを受け、新たな詳細が明らかになり、少なくともそのなかの2つが不安をもたらしている。

1つ目の不安は、セキュリティベンダー各社はVMsafeの機能を完全には解除できない点だ。

同APIは、最初のリリースでは仮想インフラ内のあらゆるリソースの帯域外検査を可能にする。仮想メモリ、ストレージ、そしてネットワーキングが保護されるゲストOSの外にあるセキュリティ製品に完全に見えてしまう。

そのため、セキュリティパートナーは仮想マシン内から自社の検査/改善エージェントを削除し、貴重なリソースを節約し、これを無効にしようとする攻撃を防げるようになり、仮想データセンタ内のどこで、どのようにマルウェアが広がっているのかを全方位から見渡せるようにする。

ただ残念ながら、VMsafeインターフェース公開時にセキュリティベンダー各社がこのようなことをすることはないだろう。

現在の開発状況では、基本的には仮想メモリ、仮想ネットワーキング、あるいは仮想ストレージのダンプとなっている膨大な数の非構造化データをAPIが提供する。

この大量の情報のなかではセキュリティベンダー各社もさほど問題なく有名なマルウェアの署名を見つけ出すことができるが、マルウェアが隠れたファイルシステム構造やファイルなどの特定では間違いなく深刻な問題を抱えることになる。

このような理由から、VMware社のパートナーはどこも実際にはVMsafeを使ってマルウェアを削除することはないだろう。
APIは検知目的だけに利用され、ゲストOS内の悪質なコードを削除するには顧客が相変わらずエージェントをインストールする必要がある。
これはもちろん、どのような攻撃手法でも完全に無力化される前に保護機能を無効にしうようと試みることが可能であることを示唆している。

つまり、われわれの仮想データセンタ内に本当の帯域外セキュリティインフラが登場するまでにはまだ時間がかかるだろう。

2つ目の不安は、すべてのセキュリティベンダーがVMsafe APIを使えるわけではない点だ。

VMsafe公開後のあるタイミングでVMware社はAPIを一般公開するが、実行のためのカギは相変わらず認定されたセキュリティベンダー各社のみに渡す。

現在、そして当面は、ベンダーの身元確認とAPIの利用計画に関する詳細な資料を提出しないとVMware社が新しいVMsafeパートナーとして受け入れてくれない。
審査手続きに費用はかからないが、手続き自体は必須となっている。

同社によると、これは信頼できないところがインターフェースにアクセスしたり、一段レベルの高い攻撃ツールを開発するのを回避するための手続きだが、基本的にはインターフェースにアクセスできるところとできないところをVMware社がコントロールする意味合いのものだという。

これには危険な影響がある。

• APIをどこよりも早く利用できるため、大規模ベンダーの信頼性はセキュリティ分野において他社に対する競争上のアドバンテージを与える。
• 正式発売前の技術革新を守ろうとする新興企業には、その計画を明らかにしない限りVMsafeのコードを利用する機会が与えられない。
• VMware社は、一部申請者の審査プロセスを遅らせることにより、直接的もしくは間接的にセキュリティ市場に影響を与える可能性がある。

etc.

もしVMsafeがセキュリティ業界にとって重要なものになれば、VMware社は本気でこのアプローチを再考しなくてはならなくなるかもしれない。

ラベル: Security, VMware