最近は企業でも従来からの物理サーバに加えて、仮想環境にサーバを構築して利用する仮想サーバの利用が進んでいます。
仮想サーバの利用が進む背景
仮想サーバの利用が進む背景としては、サーバの追加導入に物理機器の追加導入を必要としないことによる導入コストやメンテナンスコストの削減。そして、トラブルの際に復旧が簡単かつ迅速に行えることによるMTTR(平均復旧時間)の短縮などが挙げられます。
企業にとって低コストで安定性が高く障害にも強いシステムが仮想化システムであるというわけです。
仮想サーバの危険性
この仮想サーバにはセキュリティの観点からも従来の物理サーバとは違う点があります。従来の物理サーバと言えば、物理的なサーバ機器があり、そこにWindows ServerなどのOSを直接導入して各種ソフトウェアを構成するというものです。この物理サーバに対するセキュリティ対策は、直接「ウイルス対策ソフトウェアを導入する」といったものが一般的です。
仮想サーバは、物理サーバとは、そのシステム構成から大きく異なります。仮想サーバでは物理サーバ上にVMwareやCirix XenServerなどの仮想ハイパーバイザーと呼ばれるOSが導入されます。仮想ハイパーバイザー上にOSイメージという形式で各サーバが配置されます。
すでにお気づきの方もいらっしゃるでしょう。仮想サーバでは物理サーバと違い仮想ハイパーバイザーのセキュリティ対策が必要で、それは極めて重要なのです。なぜなら、通常の場合、一つの仮想ハイパーバイザー上には多くの仮想サーバが運用されています。また、コンピュータウィルスは多くの場合、データを破壊したり、書き換えて読めなくしたり、ということを行います。
ここまで説明すれば、もうお気づきですよね。
もし仮想ハイパーバイザーが破壊されてしまうと、最悪の場合はそこで管理されている全ての仮想サーバのデータが破壊されてしまう恐れがあるということです。データが破壊されてしまうと、当然ながらそのサーバは起動できず利用することは出来なくなります。そうなってしまうと、複数のサーバが停止しますので重大な業務影響が出ます。
まとめると仮想サーバには物理サーバと比較して、耐障害性、セキュリティの側面から以下の2つの違いがあります。
仮想ハイパーバイザーとゲストサーバ両方のセキュリティ対策が必要
仮想サーバでは仮想ハイパーバイザーと、ハイパーバイザー上に構築される仮想ゲストサーバの両方の対策が必要になります。
現状では仮想ハイパーバイザーに対するウイルス対策はほぼ皆無です。従って仮想ハイパーバイザーに対する対策はファイアーウォール機器やIPS(侵入防止システム)などで防ぐ必要があります。また仮想ゲストについては物理サーバやPCと同じようにウイルス対策ソフトウェアの導入が有効です。
さらにVMware VM Safeのように仮想ハイパーバイザー側から仮想ゲストサーバのウイルス対策を行うものもあります。ただ、これにはリアルタイムスキャンが行えないなどの課題もあります。
サーバ機器の耐障害性を高めることがより重要となる
仮想ハイパーバイザーは1つの機器に1つのサーバしか載らない物理サーバと異なり、多くの仮想ゲストサーバを搭載しています。そのため、複数の仮想ハイパーバイザー用のサーバを準備して障害発生時に自動で予備機に切り替えるコールドスタンバイと呼ばれる仕組みを設けること、そして仮想サーバのデータ自体は安全なストレージ上に保存してデータの喪失を防ぐなどの方法が必要となります。
おわりに
仮想サーバは物理サーバと、仕組みが大きく異なるため、セキュリティ対策という点からも異なる点があります。仮想サーバの物理サーバとの違いを理解して適切なセキュリティ対策を行うことで情報資産を守っていきましょう。