最近、仮想マシン全体を暗号化するという製品が増えてきました。パブリッククラウドやプライベートクラウドなどクラウド環境の利用が進むなかで、仮想マシン全体の暗号化というのは、情報セキュリティ上の一つの選択肢です。

この仮想マシン全体の暗号化というのは、物理マシンで例えるとディスク暗号化と考え方は、ほぼ同じです。この場合、マシンの起動時に暗号化の解除のパスワードを求められ、それが正しくないとマシンが起動しません。しかし、一般的な物理ディスクの暗号化と異なる点もあります。それは暗号鍵管理がきちんと分離されているので、暗号鍵管理に関しては強固なセキュリティを実現しています

この実際の利点としては仮想マシンのディスクイメージが盗まれたとしても簡単に起動できないということが挙げられます。しかし、一度、暗号化を解除して起動してしまえば、起動したOSのセキュリティ対策に依存することになります。つまり、このような暗号化では、起動中はOSの特権ユーザからのアクセスは自由にできてしまうことが問題となります。

これは以前こちらでも説明したことのあるディスク暗号化の欠点そのものです。これに対してフォルダ暗号化に対応した商品はフォルダ単位で暗号化できるので、そのフォルダに対して特権ユーザのアクセス制限ができるようになっています。しかし、フォルダ暗号化では通常はOSの起動後に暗号化の解除操作をするので、ディスクイメージのコピーからデータは見れなくともOSは起動されてしまいます。

このように一長一短ありますが、システムの運用基準に応じて適切な暗号化方法の選択をしていただければと思います。