第1回 思想の数だけセキュアOSは生まれる
才所 秀明
Linuxコンソーシアム
理事 兼 セキュリティ部会リーダー
2007/6/1
なぜセキュリティを確保するためのOSが必要とされたのでしょうか。そしてセキュリティを高めるということが唯一のゴールであるにもかかわらず、いくつもの種類のセキュアOSが生まれたのでしょうか。本連載ではその答えを探るべく、セキュアOSを支える人たちの「思想」に注目します(編集部)
@ITを含め、多くのメディアでセキュアOSが紹介されています。恐らく、SELinuxやLIDS、TOMOYO Linuxなどの紹介記事をご覧になった方も多いでしょう。
セキュアOSといってもさまざまなものがあります。筆者がリーダーを務めるLinuxコンソーシアム セキュリティ部会Wikiでは、数々のセキュアOSを紹介し、セキュアOSを選択するための評価項目を公開しています。これは、実際にシステムに導入するためという目的で分類しています。
| 【関連リンク】 Linuxコンソーシアム セキュリティ部会Wiki http://www.linuxcons.gr.jp/security/Wiki/ |
しかし、これ以外にも分類方法はあります。その1つが思想的な分類です。セキュアOSの思想には、大きく分けて2つの流れがあります。軍事的な利用までも念頭に置いているセキュリティ至上主義派と、容易に設定し利用できるべきと考えているカジュアルセキュリティ派です。
2つの思想が生まれた背景には、歴史的経緯があります。セキュアOSの親ともいえるトラステッドOSから簡単に説明しましょう。
軍事機密の保護のために生まれたトラステッドOS
米軍は、1960年代からコンピュータシステムを導入してきました。そこで問題となったのが、トロイの木馬などセキュリティ上の問題です。その結果、セキュリティの理論的な研究が行われ、MLS(Multi Level Security)やBLPモデル(図1)などが生まれました。
|
| 図1 MLS/BLPモデルの概要 |
また、軍への調達基準を念頭に、「TCSEC(Trusted Computer System Evaluation Criteria)」というセキュリティ評価基準が定められました。ちなみにTCSECは、日本セキュリティ・マネジメント学会(JSSM)のセキュアOS研究会により、日本語に翻訳されています。
| 【関連リンク】 TCSEC日本語版 http://www.jssm.net/jssm/secure-os/TCSEC.pdf |
TCSECで定められた商用調達レベルの最高であるB1レベルに準拠したOSが、トラステッドOSです。TCSECの評価がベースであることから分かるように、トラステッドOSは軍事機密・国家機密を守るために生まれました。当然、厳密なセキュリティが重要で、コストや使い勝手は二の次です。つまり、トラステッドOSは、セキュリティ至上主義派によって生み出されたのです。
トラステッドOSの一般企業への普及は限定的
初期のトラステッドOSは、TCSECのB1レベルに準拠するために、普通のOSと大幅に違っていました。そのため、アプリケーションがそのまま使えず、使い勝手も問題がありました。また、導入費用も膨大な金額でした。
1990年代には、政府機関以外にもトラステッドOSが導入され始めましたが、セキュリティのために膨大なコストがかけられ、使い勝手も犠牲にできる企業に限られました。例えば、金融機関などです。
インターネットが普及するにつれ、セキュリティの重要性も浸透し、トラステッドOSのようにセキュリティを強化したOSの需要も増しました。一方、トラステッドOSも、一般の利用に向けさまざまな改良が行われました。しかし、依然として使い勝手や価格の問題で一般的にはなれませんでした。
セキュアOSの誕生
このような経緯を経て、開発されたのがセキュアOSです。セキュアOSは、トラステッドOSを参考にしつつもTCSECに縛られず、一般のOSをベースにアプリケーションの互換性を確保し、使い勝手も向上させました。
さまざまなセキュアOSが誕生しましたが、共通していたのはTCSECのB1レベルで要求されていた「最小特権」と「強制アクセス制御」という考え方です。2000年当初、多くのセキュアOSが、TCSECのB1レベル相当といっていたのは、このためです。
一方、セキュリティ基準にも動きがありました。米国のセキュリティ基準であったTCSECは、1999年に世界的に統一化されたセキュリティ基準であるCC(Common Criteria)において、LSPP(Labeled Security Protection Profile)やRBACPP(Role-Based Access Control Protection Profile)などのセキュリティ要件にまとめられました。
| 【コラム:「セキュアOS」という表現は日本独自?】
トラステッドOSは、米国ほかでも使われていますが、「セキュアOS」という言葉は、基本的には日本独自の表現です。 英語表記の「SecureOS」は、米Secure Computingの登録商標ですし、そもそも米国などでは、日本のような「セキュアOS」という明確な分類はありません。間にスペースを入れて「Secure OS(セキュアなOS)」という表現は使われますが、必ずしも日本語の「セキュアOS」を指しているとは限りません。 日本における「セキュアOS」の定義は、2004年5月に「セキュアOSと基盤ソフトウエアに関する研究会」で行われました。この定義では、セキュアOSは「『強制アクセス制御』と『最小特権』の2つの機能を持つもの」であり、トラステッドOSもセキュアOSの一種です。 |
|
1/3 |
 |
| Index | |
| 思想の数だけセキュアOSは生まれる | |
 |
Page1 軍事機密の保護のために生まれたトラステッドOS トラステッドOSの一般企業への普及は限定的 セキュアOSの誕生 コラム:「セキュアOS」という表現は日本独自? |
| Page2 TCSEC以降のセキュアOS開発の思惑 至上主義派とカジュアル派の対立へ |
|
| Page3 思想的な対立点のキーワードは? 息抜きコラム:セキュアOS用語集 第1回「MAC」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
