Cenzic、実動環境でのセキュリティテストに仮想化を導入

実動環境でアプリケーションの脆弱性についてテストする場合、実動環境であるがゆえに、何かあったら大きな損害が発生するおそれがあることが問題だった。

だが、ほぼ毎日のように新しい攻撃手段や脆弱性が浮上しているため、実動状態のサーバーをテストする必要性はきわめて大きい。この問題を解く鍵は仮想化にあると、アプリケーション脆弱性テストを手がけている Cenzic は主張する。

当然の帰結として、仮想化は、Cenzic の最新ソフトウェア製品『Hailstorm Enterprise ARC 5.5』の目玉機能になっている。

Cenzic の社長兼 CEO を務める John Weinschenk 氏は、取材に対し次のように語った。「アプリケーションのセキュリティテストは、アンチウイルスを実行するのと同じには考えられない。アンチウイルスの場合、最悪でもウイルスがいるので削除するようにと警告される程度だが、アプリケーション セキュリティ テストの場合は、テストとしてアプリケーションに攻撃を仕掛ける形になるため、攻撃が成功してしまった結果、システム自体に大きなダメージを与えるといったことになりかねない。仮想化を利用すれば、実動環境のコピーを作成してテストが行なえるようになる」

Cenzic は、VMware と密接に協力することにより、VMware の2製品『VMware Lab Manager』および『VMware VirtualCenter』と Hailstorm との緊密な統合を実現した。Lab Manager は、仮想マシンにおけるアプリケーションのスナップショットを作成する製品で、VirtualCenter は、仮想マシンのリソースおよび配備を管理するものだ。

その結果、Hailstorm は、実動環境にあるアプリケーションのテストを、実動環境のパフォーマンスやデータに影響を与えずに行なうことができる。

Weinschenk 氏は、Hailstorm 5.5 を使えば、すべてのアプリケーションについてテストし、どのアプリケーションが攻撃されるおそれがあるか知ることができると説明した。さらに同氏は、ユーザーがテスト中に使うのは Hailstorm のインターフェースだけであり、VMware のコンソールを直接使う必要がないことにも言及した。