クラウド環境で多様なソフトウェアにアクセスポリシーを自動設定する技術を開発

NECはこのたび、多様なサーバを統合運用するクラウド環境において、サーバ上の複数のソフトウェアに、アクセス権設定情報（以下 アクセスポリシー）を一括して配付し、自動設定する技術を開発しました。本技術により、セキュリティに関わる運用管理コストの大幅な削減と、セキュリティの強化を同時に実現します。

また、開発した技術を国際標準化団体DMTF(注1)の標準仕様として提案し、DMTFのメンバーである韓国電子通信研究院（ETRI、注2）と共同で実証実験を行いました。

アクセスポリシーは、どのユーザが、どの計算資源（ディスク・ファイル・データベース・ソフトウェアなど）にアクセスできるかという権限を記述した情報です。システム管理者は、アクセス制御機能を備えたソフトウェア（仮想マシン・OS・データベース・業務アプリケーションなど）に対してアクセスポリシーを設定し、不正アクセスを防ぎます。一般にクラウド環境では、多様なソフトウェアを搭載した仮想サーバを運用していますが、ソフトウェアへのアクセスポリシーの設定は、システム管理者が個別に行う必要があり、システムの規模が大きい場合は大きな負担となっています。

このたび、仮想サーバ上の多様なソフトウェアに対して、アクセスポリシーを一括して配付・設定できる管理ソフトウェアモデル(注3)を開発し、それに基づいた「ポリシー管理ソフトウェア」・「ポリシー設定ソフトウェア」を開発しました。本技術により、従来は個別のソフトウェアごとに行っていたアクセスポリシーの設定の自動実行が可能となり、システム管理者の手作業による負担を軽減するとともに、設定不備によるセキュリティ脆弱性を解消します。また、クラウド環境で想定されるサーバやソフトウェアの頻繁な変更・追加に即座に対応可能となり、クラウド環境の運用管理コストの削減とセキュリティ強化を同時に実現します。

このたび開発した技術の特長は以下の通りです。

1. アクセスポリシーを一括設定可能な管理ソフトウェアモデルを開発
   異なる仮想化基盤ソフトウェア（以下 VM）・OS・ミドルウェア等を搭載するサーバの統合環境において、共通の方式でアクセスポリシーを配付、設定できる、ベンダーに依存しない管理ソフトウェアモデルを開発。本モデルは、国際標準化団体DMTFが既定する情報管理モデル（CIM）を拡張し、これまでモデル化されていなかったソフトウェアのアクセス制御動作とその制御情報を新たに表現。各ベンダーが、本モデルに基づいたポリシー配付・設定機能をサーバへ実装することにより、ベンダーや種類の異なるソフトウェアに対して、アクセスポリシーの一括配付・設定が可能。
2. ソフトウェアモデルに基づき、アクセスポリシーを自動設定できるソフトウェアを開発
   1のソフトウェアモデルに基づき、アクセスポリシーを集中管理し、サーバ上のソフトウェアに一括配付する「ポリシー管理ソフトウェア」と、配付したアクセスポリシーを受け取り、個々のソフトウェアに設定する「ポリシー設定ソフトウェア」を開発。これらは、国際標準となっているシステム運用管理メッセージ配付プロトコルに準拠しているため、各サーバにおいて、「ポリシー設定ソフトウェア」を追加インストールするだけで、既存のサーバ基盤ソフトウェア（VM・OS）やミドルウェア（DB）にポリシーを自動設定することが可能。

NECは、上記の管理ソフトウェアモデルをDMTFに標準化提案し、2011年上期の標準化実現に向けて活動を進めています。本活動の一環として、DMTFメンバーである韓国電子通信研究院と共同で、日本（NEC）のポリシー管理ソフトウェアから、韓国（ETRI）のLinuxサーバ上に搭載したポリシー設定ソフトウェアに対し、標準化提案に基づいた方式でアクセスポリシーを配付できることを実証しました。

なお本実験に用いたポリシー設定ソフトウェアは、ETRIを通じてLinuxオープンソースソフトウェアとして一般公開される予定で、広くLinuxサーバのセキュリティ管理に活用できるようになります。

NECは今後、国際標準に対応したID管理・権限管理などによるセキュリティ強化に向けて、クラウドプラットフォーム事業・クラウドサービス事業などの分野において、本技術の実用化を目指し研究開発を進めてまいります。

なお、今回の研究開発の一部は、経済産業省プロジェクト「セキュア・プラットフォームプロジェクト」（平成19～21年）によるものです。

以上