第1回 思想の数だけセキュアOSは生まれる


才所 秀明
Linuxコンソーシアム
理事 兼 セキュリティ部会リーダー
2007/6/1
なぜセキュリティを確保するためのOSが必要とされたのでしょうか。そしてセキュリティを高めるということが唯一のゴールであるにもかかわらず、いくつもの種類のセキュアOSが生まれたのでしょうか。本連載ではその答えを探るべく、セキュアOSを支える人たちの「思想」に注目します(編集部)

 @ITを含め、多くのメディアでセキュアOSが紹介されています。恐らく、SELinuxやLIDS、TOMOYO Linuxなどの紹介記事をご覧になった方も多いでしょう。

 セキュアOSといってもさまざまなものがあります。筆者がリーダーを務めるLinuxコンソーシアム セキュリティ部会Wikiでは、数々のセキュアOSを紹介し、セキュアOSを選択するための評価項目を公開しています。これは、実際にシステムに導入するためという目的で分類しています。

【関連リンク】
Linuxコンソーシアム セキュリティ部会Wiki
http://www.linuxcons.gr.jp/security/Wiki/

 しかし、これ以外にも分類方法はあります。その1つが思想的な分類です。セキュアOSの思想には、大きく分けて2つの流れがあります。軍事的な利用までも念頭に置いているセキュリティ至上主義派と、容易に設定し利用できるべきと考えているカジュアルセキュリティ派です。

 2つの思想が生まれた背景には、歴史的経緯があります。セキュアOSの親ともいえるトラステッドOSから簡単に説明しましょう。

 軍事機密の保護のために生まれたトラステッドOS

 米軍は、1960年代からコンピュータシステムを導入してきました。そこで問題となったのが、トロイの木馬などセキュリティ上の問題です。その結果、セキュリティの理論的な研究が行われ、MLS(Multi Level Security)やBLPモデル(図1)などが生まれました。

図1 MLS/BLPモデルの概要

 また、軍への調達基準を念頭に、「TCSEC(Trusted Computer System Evaluation Criteria)」というセキュリティ評価基準が定められました。ちなみにTCSECは、日本セキュリティ・マネジメント学会(JSSM)のセキュアOS研究会により、日本語に翻訳されています。

【関連リンク】
TCSEC日本語版
http://www.jssm.net/jssm/secure-os/TCSEC.pdf

 TCSECで定められた商用調達レベルの最高であるB1レベルに準拠したOSが、トラステッドOSです。TCSECの評価がベースであることから分かるように、トラステッドOSは軍事機密・国家機密を守るために生まれました。当然、厳密なセキュリティが重要で、コストや使い勝手は二の次です。つまり、トラステッドOSは、セキュリティ至上主義派によって生み出されたのです。

 トラステッドOSの一般企業への普及は限定的

 初期のトラステッドOSは、TCSECのB1レベルに準拠するために、普通のOSと大幅に違っていました。そのため、アプリケーションがそのまま使えず、使い勝手も問題がありました。また、導入費用も膨大な金額でした。

 1990年代には、政府機関以外にもトラステッドOSが導入され始めましたが、セキュリティのために膨大なコストがかけられ、使い勝手も犠牲にできる企業に限られました。例えば、金融機関などです。

 インターネットが普及するにつれ、セキュリティの重要性も浸透し、トラステッドOSのようにセキュリティを強化したOSの需要も増しました。一方、トラステッドOSも、一般の利用に向けさまざまな改良が行われました。しかし、依然として使い勝手や価格の問題で一般的にはなれませんでした。

 セキュアOSの誕生

 このような経緯を経て、開発されたのがセキュアOSです。セキュアOSは、トラステッドOSを参考にしつつもTCSECに縛られず、一般のOSをベースにアプリケーションの互換性を確保し、使い勝手も向上させました。

 さまざまなセキュアOSが誕生しましたが、共通していたのはTCSECのB1レベルで要求されていた「最小特権」と「強制アクセス制御」という考え方です。2000年当初、多くのセキュアOSが、TCSECのB1レベル相当といっていたのは、このためです。

 一方、セキュリティ基準にも動きがありました。米国のセキュリティ基準であったTCSECは、1999年に世界的に統一化されたセキュリティ基準であるCC(Common Criteria)において、LSPP(Labeled Security Protection Profile)やRBACPP(Role-Based Access Control Protection Profile)などのセキュリティ要件にまとめられました。

【コラム:「セキュアOS」という表現は日本独自?】

 トラステッドOSは、米国ほかでも使われていますが、「セキュアOS」という言葉は、基本的には日本独自の表現です。

 英語表記の「SecureOS」は、米Secure Computingの登録商標ですし、そもそも米国などでは、日本のような「セキュアOS」という明確な分類はありません。間にスペースを入れて「Secure OS(セキュアなOS)」という表現は使われますが、必ずしも日本語の「セキュアOS」を指しているとは限りません。

 日本における「セキュアOS」の定義は、2004年5月に「セキュアOSと基盤ソフトウエアに関する研究会」で行われました。この定義では、セキュアOSは「『強制アクセス制御』と『最小特権』の2つの機能を持つもの」であり、トラステッドOSもセキュアOSの一種です。


1/3

Index
思想の数だけセキュアOSは生まれる
Page1
軍事機密の保護のために生まれたトラステッドOS
トラステッドOSの一般企業への普及は限定的
セキュアOSの誕生
コラム:「セキュアOS」という表現は日本独自?
  Page2
TCSEC以降のセキュアOS開発の思惑
至上主義派とカジュアル派の対立へ
  Page3
思想的な対立点のキーワードは?
息抜きコラム:セキュアOS用語集 第1回「MAC」


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間