「仮想化がカード情報保護の新たな脅威に」~ネットワン

PCIDSSの仮想化ガイドラインを解説


ネットワン フェロー兼PCI SSC PO Japan連絡会会長の山崎文明氏

 ネットワンシステムズ株式会社(以下、ネットワン)は5日、PCIDSS最新動向に関する記者説明会を開催。ネットワン フェロー兼PCI SSC PO Japan連絡会会長の山崎文明氏が、2011年6月に公表された「仮想化」に関するガイドラインについて説明した。

 PCIDSSは、カード情報を保護するためのセキュリティ基準。同基準において6月に公表されたのが、強い関心を集めていた仮想化に対する初のガイドライン「PCIDSS Virtualization Guidelines」である。著名なITベンダー、ユーザー企業などによって構成されるVirtualization Special Interst Group(SIG)によって取りまとめられた。

 これらはPCIDSSで定められ、必須事項となっているセキュリティ要件とは別に、Supplements(参考文書)として提供され、必ずしも準拠しなければいけないものではない。しかし、そこに書かれている内容は、カード情報を保護する上で決して軽視できるものでもない。


PCIDSSの観点から、仮想化で生まれる新たなリスク

仮想化に伴う新たなセキュリティリスク

 ガイドラインはまず、仮想化に伴う新たなセキュリティリスクとして、「仮想化環境にも、PCIDSS要件は適用される」「仮想化は便利だが、新たなリスクがもたらされる」「仮想化技術は多岐にわたり、単一の方法ではうまくいかない」の3点が原則としてまとめられた。

 つまり、仮想化では「今まで存在したセキュリティリスクはそのまま残り、新たに特有のセキュリティリスクが追加される」というのが、同ガイドラインの立ち位置となる。では、具体的にどのような新たなセキュリティリスクが生まれるのか。

 例えば、仮想マシンに関して「長期放置された仮想マシンのポリシー違反」「仮想マシンの不正な構成変更や設定ミス」「仮想マシンの不正作成や配置ミス」を挙げている。また、仮想ネットワークに関しても「仮想ネットワークトラフィック可視化の難しさ」「仮想マシン間での不正アクセスやワーム伝播」などが、ハイパーバイザーについても「ハイパーバイザーの不正利用・なりすまし」「ハイパーパイザーのセキュリティホール」などが指摘された。

 ガイドラインではこれらを11のリスクとして以下のようにまとめている。

  1. 既存のすべてのOSやアプリレベルの攻撃は仮想化後も存在する
  2. 仮想化によるハイパーバイザーが新たな攻撃対象となる
  3. 新たな管理ソフト層が加わり、システムが複雑になる
  4. 1つの物理筐体に複数の機能がのり、リスクが伝播する
  5. 信頼レベルの異なる仮想マシンが存在する
  6. 職務分掌が欠如する
  7. 休眠した仮想マシンが環境に残される
  8. 仮想マシンのイメージやスナップショットが残される
  9. モニタリングソリューションが不十分である
  10. 仮想ネットワークセグメント間の情報漏えいリスクがある
  11. 仮想コンポーネント間の情報漏えいリスクがある



仮想環境における対策ポイント

同じハイパーバイザー上にカード番号を扱う/扱わない仮想マシンが混合している場合は?

 山崎氏によれば、同一のハイパーバイザー上でカード番号を扱う/扱わない仮想マシンが稼働する「混合モード」の場合が最大の問題となりそうだ。

 仮想マシンであってもカード番号を扱うのであれば、PCIDSSの準拠対象となる。加えて、カード番号を扱わない仮想マシンも同じハイパーバイザー上で稼働する場合、それも準拠対象になるという。

 「すなわち、仮にファイアウォールなどでネットワーク的に十分に分離されていたとしても、ハイパーバイザー上に搭載される仮想マシンが1つでも準拠対象にあるならば、その仮想ホスト全体が準拠対象になるというわけだ」(同氏)。

 そこでガイドラインでは、「混合モードを使用しない」ことを“Point 1”として、「同一のハイパーバイザー上にはセキュリティレベルの異なる仮想マシンを原則置かないこと」「重要なシステムコンポーネントについては仮想マシンの分離を検討すること」を推奨している。分離すべきシステムコンポーネントは、例えば、ログを生成する仮想マシン/ログを取得・保存する仮想マシン、暗号化を行う仮想マシン/暗号鍵を管理する仮想マシンなどだ。これらの仮想マシンはそれぞれ仮想ホストごと物理的に分けるように」と推奨している。

“Point 1”混合モードは使用しないセキュリティレベルによる仮想ホストの物理的な分離を推奨している

“Point 2”ハイパーバイザーのセキュリティ管理

 また、仮想化で簡単にシステムを立ち上げられるようになったため、従来分けられていたシステム担当とネットワーク担当を一人の人が兼ねるようになった点もリスクだ。上記(6)の「職務分掌が欠如する」とはこのことを指しており、ハイパーバイザーの権限者に非常に高い権限が集中するため、人的な脅威が増大してしまう。「ある意味、データセンター全体を1人が牛耳るようなもの。仮に権限者が悪意を持って不正なことをすれば、その影響は甚大なものとなる」と山崎氏は指摘する。

 そこでガイドラインでは“Point 2”として、「ハイパーバイザーへのアカウントは慎重に制御する必要がある。具体的には役割ベースのアクセス制御と職務分掌をきめ細かく、二要素認証やデフォルト設定の回避などを今まで以上に考慮すること」と推奨している


対策が仮想化技術の足かせにも

 しかし、これらは「仮想化の柔軟性という本来のメリットを真っ向から否定するもの」(同氏)という見方ができる。カード情報を扱う/扱わないによって、仮想マシンを物理環境ごとに分けるとなれば、物理環境を集約してのコストメリットを生み出しにくくなる。ライブマイグレーションも安易には行えなくなり、仮想化技術に足かせをはめることになりかねない。

 ただ、Virtualization SIGには、仮想化の推進役であるVMwareとCitrixも参加しているのが興味深い点だ。彼らも協議の輪に入った上での今回の仮想化ガイドラインなのである。


仮想環境にも効果的なトークナイゼ―ション技術


“Point 3”仮想化の運用ルールの作成と周知

 では、PCIDSSの枠組みの中では、仮想化のメリットは制限せざるを得ないのだろうか。1つ、問題を軽減できそうな技術がある。カード番号を意味のない文字列に変える「トークナイゼ―ション」だ。本物のカード番号は強固なデータベースに保管し、カード番号を扱うシステムではできる限り、本物のカード番号とひも付くトークン化された情報のみを使って処理を行う。こうすることでカード情報を格納するデータベースと、どうしても本物のカード番号が必要となる決済アプリ以外は、PCIDSSの準拠範囲から外すことが可能となる。

 仮想環境でもトークン化された情報だけを扱う仮想マシンでは、情報漏えいによる実害を心配する必要はなく、PCIDSSを気にする必要もない。カード番号を扱う/扱わない仮想マシンを同一のハイパーバイザー上で混合させてもよいことになるのだ。

 米国では進みつつあるトークナイゼ―ションだが、国内ではまだ導入が進んでいない。その理由は「認知度が低いため。また、カード番号じゃなきゃイヤだというあまり論理的でない現場の声を無視できないシステム担当者の弱い立場もある」(山崎氏)という。

 そこでまず必要なのは、仮想化の運用ルールの作成であろう。ガイドラインでも“Point 3”として「運用ルールの作成と周知」を挙げており、「稼働中の仮想マシン、非稼働の仮想マシン、バックアップについて、外部媒体を含め適切な管理が必要。仮想化技術の特性を理解した上で、適切な構成・変更管理を実施し、特に休眠した仮想マシンイメージの管理に特に注意する」などを推奨している。

 山崎氏も「休眠した仮想マシンに重要な情報が残され、不正アクセスにより漏えいする可能性がある。物理環境であれば休眠したマシンも目で見えるから検知しやすいが、仮想マシンとなると気がつかないことも十分考えられる。特に仮想環境における構成・変更管理の運用ルールは検討すらしていない企業が多いため、まず早急にすべきことは、教育やトレーニングを含め、運用ルールを確立させることだろう」と話す。

 仮想化によって、カード情報保護で考えるべき事柄が増えるのは避けられそうにない。運用ルールの作成を優先するならば、そこにトークナイゼ―ションに関するルールも盛り込むことが、仮想環境のカード情報保護には有効な手と言えるかもしれない。なお、トークナイゼ―ションについては仮想化ガイドラインと同様、2011年8月にガイドラインが公表されている。

関連情報