ニュース
» 2008年11月25日 00時00分 公開

「私物PCも職場に持ち込めます」、Xen創始者仮想化が開く新たなセキュリティモデル

[西村賢,@IT]

 「私は“Bring-your-own-PCモデル”と呼んでいますが、仮想化技術を使えば、職場などに自分のPCを持ち込んで業務システムを使っても十分なセキュリティを確保できるのです」

 仮想化技術導入のメリットをこう語るのは、オープンソースの仮想化ソフトウェアプロジェクト「Xen」のリーダーで、2007年に米シトリックス・システムズに買収されたXenSourceの創業者でもあるイアン・プラット(Ian Pratt)氏だ。サーバ統合による省電力化や運用コスト削減といった面で注目される仮想化技術だが、セキュリティ上も大きな導入メリットがあるという。2008年11月19日に東京で開催されたXenConference Japan 2008のために来日した同氏に話を聞いた。

――講演でBring-your-own-PCモデルについて触れていました。

プラット氏 自治体などセキュリティ上の理由で複数のシステム、ネットワークを使い分ける必要がある場合、机の上にPCが2台も3台も並ぶことがあります。それぞれのPCが接続されたネットワークは異なり、アクセスできるシステムも違います。

仮想化ソフトウェアプロジェクト「Xen」のリーダーで米シトリックス・システムズ チーフ・サイエンティスト イアン・プラット氏

 同様の理由で、職場に自分のPCと会社のPCの2台を置いて使っているユーザーも多いでしょう。

 私の妻の知人には、もっとすごい人がいます。製薬業界担当のコンサルタントだったその人は、高いセキュリティを要求する各社が提供するPCを、すべて自分のケースに入れて持ち歩いていたのですが、合計で6台にもなったそうです。

 ハイパーバイザを使った仮想化技術を導入すれば、1台のPC上に完全に隔離されたOS環境を複数構築できるので、こうした物理PCの使い分けが不要になります。例えば自分用のOS環境と会社用のOS環境を用意してあれば、会社の業務システムに社員が自分のPCでアクセスしても構わないのです。一方のOSにキーロガーが忍び込んでいたとしても、もう一方は影響を受けません。Xenを使えば、2つのゲストOSを切り替えて使うほかにも、同一画面上に2つのOSのウィンドウを同時に出すこともできます。

 また、ウイルススキャンを仮想OSの外部から行うこともできます。一部のマルウェアは活動を始めると同時にウイルススキャナを無効化してしまいますが、こうした攻撃に対しても仮想化は有効な技術です。

イアン・プラット氏がデモンストレーションで見せた利用モデル。このデスクトップ画面を表示しているWindows Vistaにはキーロガー(画面左上)が入り込んでいてユーザーがタイプするキーを横取りしているが、画面右下のオフィスの画面は実は別のゲストOS上で稼働しているため影響していない
画面は開発中のバージョンを使ったもので、GPUも仮想化している。アクセラレーションが有効になっていて、Windows VistaのAeroインターフェイスやビデオ再生が滑らかに動いている

――ヴイエムウェアが11月10日にARM向け仮想化技術を発表しました(参考記事:ヴイエムウェアがケータイにも仮想化提供へ)。これも、セキュリティ上の理由から複数OSを独立した環境で動かすニーズがある端末機器メーカーでの利用などが想定されています。Xenの組み込み機器への取り組みはいかがですか?

プラット氏 まだ製品はありませんが、サムスンがXenのARM移植をリードしています。ヴイエムウェアのARM対応ハイパーバイザはオープンソースではありませんが、ARM向けでもXenはオープンソースという違いがあります。

 ほかにもOK Labsというところも組み込み向けの仮想化技術に取り組んでいますが、非常に興味深い分野だと思います。小さな端末では3つのOSを搭載するぐらいがちょうどいいと思います。

――WindowsプラットフォームではHyper-Vが強力なライバルですが、Windows上でユーザーがXenを選ぶべき理由は? また、Linuxプラットフォームではカーネルモジュールとして読み込むだけで使えるKVMが構成がシンプルで使い勝手がいいように思います。ドライバサポートの点でも今後はKVMが有利に思えますが、Xenの優位点は?

プラット氏 Hyper-Vはまだ登場間もない製品で、キーとなる機能が欠けています。Live MigrationやHA機能などがありません。また、パフォーマンスの点でもXenのほうが優れています。Windows上の仮想化環境でWindows Server 2008を動かすと、Hyper-VよりXenのほうが速いのです。

 もしすでにLinuxを使っていて仮想化環境がほしいということなら、確かにKVMは便利です。しかし、KVMはハイパーバイザとはいえませんし、ホストOSが介在するのでセキュリティ上も問題があります。これはHyper-Vにも言えることですが、KVMはLinuxというOSに固有の技術です。しかし、XenはOSに関係しません。

――シトリックスによるXenSource買収の影響は?

プラット氏 ビジネス面では当然物事の決定速度が遅くなったということはありますが、販売体制という点では大きく変わり、より広い顧客にリーチできるようになりました。

 開発コミュニティ側は、買収によって何か大きく変わるのではないかと不安も感じていましたが、そうしたことはありませんでした。むしろ投資が増え、シトリックスから技術者が開発に参加するようになるなどいい影響があります。

――2008年9月に業界団体のDMTFが仮想OSのポータビリティを高める標準化仕様「OVF」(Open Virtualization Format)の最初のバージョンをリリースしました。

プラット氏 OVFは、もともとOVA(Open Virtualization Appliance)という名称でXenが使っていたパッケージング形式に由来しています。われわれがOVAを発表したところ業界からの反応が良く、IBMはわれわれをヴイエムウェアに紹介してくれ、それに続いてマイクロソフトも参加してきました。

 シトリックスでは現在、仮想化環境の構築やインポート・エクスポートを行うためのオープンソースの実装プロジェクト「Kensho」を進めていて、10月にはテクニカル・プレビュー版を公開したばかりです。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。