Broadcomが公表したVMware製品のゼロデイ脆弱性は、永久ライセンスを使用している企業に対して、セキュリティパッチやサポート提供の課題を浮き彫りにした。ユーザー企業はどう対応すべきなのか。
半導体ベンダーBroadcomは仮想化ソフトウェアベンダーVMwareを買収後、VMware製品の永久ライセンスの販売を終了し、サブスクリプションライセンスに統一して製品体系を再編した。それに対して、サードパーティーの保守サポートを利用し、永久ライセンスの運用を続ける方針のユーザー企業もある。
そうした中で公表されたVMware製品のパッチ(修正プログラム)未公開のゼロデイ脆弱(ぜいじゃく)性によって、サブスクリプションへ移行せずにVMwareの永久ライセンスを維持し続けることの困難さが浮き彫りになった。どのような脆弱性で、製品にはどう影響するのか。
Broadcomは2025年3月、ハイパーバイザー「VMware ESXi」「VMware Workstation」「VMware Fusion」を含む複数のVMware製品に影響を及ぼす3件のゼロデイ脆弱性について、緊急セキュリティアドバイザリー(セキュリティに関する情報)を公表した。中でも最も深刻な脆弱性は、VMware ESXiとVMware Workstationにおける脆弱性だという。ゼロデイ脆弱性とは、ベンダーがその存在を認識しておらずパッチ未提供となっている脆弱性を指す。
セキュリティ企業Rapid7によれば、これらの脆弱性は遠隔から悪用可能なものではない。影響を受けるVMwareハイパーバイザー上で動作している仮想マシン(VM)に対して、攻撃者が既に特権アクセス(管理者またはroot権限)を持っていることが前提となる。
Rapid7はブログで、3つの脆弱性は連鎖的に組み合わせて利用される可能性があると述べている。「ゲストOSを既に侵害し、特権アクセスを獲得した攻撃者が、ハイパーバイザーそのものに侵入するという状況が想定される」と警告する。
Broadcomは、VMware ESXi、サーバ仮想化ソフトウェア「VMware vSphere」、プライベートクラウド構築用製品群「VMware Cloud Foundation」(VCF)の全てのバージョンが、修正済みとして明示されていない限り影響を受けるという。「影響の有無に確信が持てない場合には、脆弱であると見なして直ちに対策を講じるべきだ」と警告している。加えて、この脆弱性は「実際に悪用された事例が発生している」とも言及している。
旧バージョンの「VMware ESX」を使用しているVMwareユーザー向けには、BroadcomがESXのバージョン6.7用のパッチ(修正プログラム)を発行しており、全てのユーザーがサポートポータルから利用可能だ。一方、ESXのバージョン6.5のユーザーは、パッチへアクセスするために延長サポートを利用する必要があるとBroadcomは述べている。
一般サポートが終了した製品については評価の対象外とされており、vSphereのバージョン6.5と6.7のユーザーには、vSphereのバージョン8へのアップグレードが強く推奨されている。
Broadcomが提供するパッチを適用するには、VMwareのサブスクリプションに移行する必要がある。ただし、サポート対象のvSphereバージョンをカバーする中古ライセンスを調達する準備があるならば、それによっても最新のサポート対象VMwareリリース向けのパッチとアップデートを全て受け取ることができる。
十分に管理された上での移行であれば、VMwareサブスクリプションへの移行は適切な選択肢となり得る。特に、VCFを活用し、仮想化とコンテナの両方を管理する必要がある組織にとっては有効な選択だ。
ITサービス企業DXC Technologyでクラウドおよびインフラ担当フィールドCTO(最高技術責任者)を務めるホランド・バリー氏は、VMwareのライセンスモデルの変化に適応する過程で、多くの組織がコスト最適化と業務効率向上の機会を見出していると述べる。
バリー氏は、多くの企業が以下のような機能をVCFで置き換えることで、IT基盤全体を合理化していると述べる。
調査会社Clickchart(CCS Insightの名称で事業展開)で主席アナリストを務めるボラ・ロティビ氏は、VCFのメリットの一つは、仮想マシンとコンテナオーケストレーションツール「Kubernetes」ベースのアプリケーションの両方を1つのプラットフォームで支援できる点だと述べる。「多くの企業は、依然として仮想マシン上で稼働するレガシーアプリケーションを使用しているが、一方でクラウドネイティブかつコンテナ化されたアプリケーションによるモダナイゼーション(最新化)も目指している。VCFは、そうした二重構成を強いることなく、両者をシームレスに統合する」(ロティビ氏)
バリー氏は、IT管理者に対し、VMwareの新要件である「1CPUソケット当たり16コア以上」にハードウェア構成を合わせるよう提案している。メモリとCPUの比率を慎重に再調整することで、追加のリソースを避けつつ、アプリケーションの最適化が実現されるという。
多くのIT管理者は、パッチ未適用のIT環境で運用することにリスクを感じているが、VMwareは成熟した製品であり、セキュアな環境維持に関するベストプラクティスは広く知られている。
サードパーティーサポートベンダーSpinnaker Supportによると、VMwareのユーザー企業は、旧製品が新たに発見された脆弱性の影響を受けるかどうか、自力で評価しなければならないという。ESX 6.7に関する最近の脆弱性では、該当機能はESXのバージョン5.5には存在しておらず、ESX 5.5を使用している組織にとっては無関係の問題だと同社は説明する。
BroadcomによるVMware製品のバンドル化は、製品群の簡素化につながった一方で、Spinnaker Supportの経験では、多くの組織が使用していない製品にもパッチが提供される結果となっている。
Spinnaker Supportでサイバーセキュリティ担当バイスプレジデントを務めるクレイグ・サベージ氏は次のように述べる。「Broadcomのバンドル戦略により、実際のセキュリティリスクの判別が困難になっている。全てが大規模かつ高価なパッケージに含まれることで、何を本当に守るべきで、何がそうでないのかを見極めるのが非常に難しくなっている」
(翻訳・編集協力:編集プロダクション雨輝)
米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
