クラウド環境のソフトウェアにアクセスポリシーを一括配布--NECが開発

　NECは1月11日、多様なサーバを統合運用するクラウド環境で、サーバ上の複数のソフトウェアにアクセス権設定情報（アクセスポリシー）を一括配付し、自動設定する技術を開発したと発表した。

　アクセスポリシーは、どのユーザーが、どの計算資源にアクセスできるかという権限を記述した情報。システム管理者は、アクセス制御機能を備えたソフトウェア（仮想マシン、OS、データベース、業務アプリケーションなど）に対してアクセスポリシーを設定して不正アクセスを防ぐ。一般にクラウド環境では、多様なソフトウェアを搭載した仮想サーバを運用しているが、ソフトウェアへのアクセスポリシの設定は、システム管理者が個別に行う必要があり、システムが大規模である場合は大きな負担になっているという。

　NECでは、仮想サーバ上の多様なソフトウェアに対して、アクセスポリシを一括して配付、設定できる管理ソフトウェアモデルを開発し、それに基づいた「ポリシー管理ソフトウェア」「ポリシー設定ソフトウェア」を開発した。同技術により、これまで個別のソフトウェアごとに行っていたアクセスポリシー設定を自動実行できるようになり、セキュリティに関わる運用管理コストの削減と、セキュリティの強化を実現するという。

　ベンダーに依存しない管理ソフトウェアモデルの開発により、異なる仮想化基盤ソフトウェア、OS、ミドルウェア等を搭載するサーバの統合環境において、共通の方式でアクセスポリシーを配付、設定できる。このモデルは、標準化団体であるDMTF（Distributed Management Task Force）が定める情報管理モデル（CIM）を拡張し、これまでモデル化されていなかったソフトウェアのアクセス制御動作とその制御情報を新たに表現したもの。各ベンダーが、同モデルに基づいたポリシー配付、設定機能をサーバへ実装することにより、ベンダーや種類の異なるソフトウェアに対して、アクセスポリシーの一括配付や設定が可能になる。

　またこのソフトウェアモデルに基づいて、アクセスポリシーを集中管理し、サーバ上のソフトウェアに一括配付する「ポリシー管理ソフトウェア」と、配付したアクセスポリシーを受け取り、個々のソフトウェアに設定する「ポリシー設定ソフトウェア」も同時に開発している。これらは、国際標準となっているシステム運用管理メッセージ配付プロトコルに準拠しているため、各サーバに「ポリシー設定ソフトウェア」を追加インストールするだけで、既存のサーバ基盤ソフトウェアやミドルウェアにポリシーを自動設定できるという。

　NECでは、上記の管理ソフトウェアモデルをDMTFに標準化提案し、2011年上期の標準化実現に向けて活動を進めている。活動の一環として、 DMTFメンバーである韓国電子通信研究院（ETRI）と共同で、日本にあるNECのポリシー管理ソフトウェアから、韓国にあるETRIのLinuxサーバ上に搭載したポリシー設定ソフトウェアに対し、標準化提案に基づいた方式でアクセスポリシーを配付できることを実証したとしている。同実験に用いたポリシー設定ソフトウェアは、ETRIを通じてLinuxオープンソースソフトウェアとして一般公開される予定。なお、今回の研究開発の一部は、経済産業省が2007〜2009年に実施した「セキュア・プラットフォームプロジェクト」によるものだという。