第11回CSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」

2015年5月1日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

4月28日に行われたCSA勉強会「NIST draft SP800-125a Security Recommendations for Hypervisor Deploymentの解読」に参加しました。講師は、株式会社 東芝 インダストリアルICTソリューション社の外山春彦氏です。

そもそもハイパーバイザの脅威とは何かということですが、ハイパーバイザに入れればなんでもできてしまうということとハードウエアリソースの共有による可用性の問題の2点があげられます。CAIの観点からいうと、VMの操作・情報漏えいに関わるCIとVMの可用性を妨害するAということになります。NIST SP800-125aでは、ハイパーバイザのセキュリティに関するベストプラクティスを集めた形でまとめられています。NIST SP800-125aは、2011年に出された125に次いで出される形になっていて、125では仮想化全体についてのハイレベルな記載になっていたのに対して、125aではハイパーバイザを体系的に捉えることと運用に焦点を当てたセキュリティの推奨事項を22項目にわたってまとめています。特に、以下の3つの観点でまとめられています。

  1. ハイパーバイザのアーキテクチャおよびその選択
  2. ハイパーバイザのベースラインに対する脅威
  3. セキュアブートをサポートしたアーキテクチャを前提

アーキテクチャの選択基準としては、ブートインテグリティ保証があることやCPUの仮想化機能を持っていることを前提としているなど、たぶんにIntelアーキテクチャ、特に最新のものを前提としているようです。これにより、仮想化機能の実現手段として、ハードウエアからの支援とソフトウエアの両面から行っていくことが推奨されます。ベースラインに対する脅威としては、境界面からの脅威があげられています。脅威源として、リソース、ゲストに加えて管理コンソールへの攻撃を注意する必要があります。ハイパーバイザ固有の攻撃としては、悪意のあるVM,通信のなりすまし、リソースの食いつぶし、特権インターフェースの利用の4点があげられます。したがって、ベースライン機能に対するセキュリティ推奨としては、実行のアイソレーション、デバイスエミュレーションとアクセス制御、VMの管理、アドミン管理が必要とのことでした。

最後にまとめとして挙げられたセキュリティの推奨事項として以下の3点がありました。

  1. ハイパーバイザプラットホーム選択
  2. ホスト上の複数VM(設定・状態)を管理する必要性
  3. ハイパーバイザホスト&ソフトの管理者設定

ハイパーバイザのリスクは、ENISAの「クラウドコンピューティング情報セキュリティに関わる利点、リスクおよび推奨事項」の中の「V5.ハイパーバイザの脆弱性」でまとめて記述されているような固有の脆弱性を持っています。また、CSAのガイダンスにおいては、ハイパーバイザのセキュリティ対策として、第13章「仮想化」で詳しく触れています。また、ハイパーバイザのセキュリティは、ハードウエアやソフトウエアの支援の下に実現していくことが大切であると感じました。Intelアーキテクチャのハードウエア支援や、VMWareのvShield機能などを利用して対策を取っていきたいと思います。SP800-125aは、まだドラフトですが、今後のハイパーバイザ/仮想化の基準として抑えていく必要がありそうです。

なお、本勉強会の詳細については、改めて公開される勉強会資料を参照してください。

以上

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*