第1回 思想の数だけセキュアOSは生まれる

才所 秀明
Linuxコンソーシアム
理事 兼 セキュリティ部会リーダー
2007/6/1

---

　TCSEC以降のセキュアOS開発の思惑

　TCSECから解放されたセキュアOSですが、すべてが使いやすさを重視するカジュアルセキュリティ派というわけではありません。代表的なセキュアOSのタイプを見てみましょう。

1. トラステッドOS陣営

　トラステッドOSベンダは、トラステッドOSの改良と同時に、セキュアOSを開発してきました。もちろん、おのおのが持つトラステッドOS技術をベースにしているので、作りとしてはセキュリティ至上主義派の考え方に近いものになっています。

　しかし、彼らにとってセキュアOSは、トラステッドOSマーケット以外を補完する製品であるため、完全にセキュリティ至上主義派であるともいえません。ちなみにトラステッドOSベンダの中には、UNIX製品を持つものもあります。このようなベンダの場合、自社のUNIX製品にセキュアOS機能を取り込んでいます。

2. SELinux陣営

　米国家安全保障局（NSA：National Security Agency）は複数の企業とともに、セキュアなLinuxの実現に向け、理論研究や開発を行ってきました。その成果が、2000年に公開されたSELinuxです。

　NSAは国家の安全を守る機関ですから、完全なセキュリティ至上主義派です。また、同じくSELinux陣営となっていたRed Hatを中心に、SELinuxをLinux標準とすべく、LSM（Linux Security Module：セキュアOSなどを実装するフレームワーク）対応などの活動を行いました。この動きは、SELinux陣営が先手を打った形となり、現在の知名度の大きさにつながっています。

3. 韓国セキュアOS陣営

　韓国のセキュアOS事情は、「想像以上？！ お隣韓国のセキュアOS事情」にあるように少し特殊です。

　韓国では2003年にSlammerワームによる大被害を受けました。IPAの報告書にもあるように、彼らはセキュアOSを情報セキュリティ強化の一環と位置付けています。その結果、韓国セキュアOS陣営はWindows対応なども行い、できるだけ多くの企業でセキュアOSが使われることを目指しています。カジュアルセキュリティ派といえるでしょう。

　一方で、TCSECなどを参考にした韓国政府のためのセキュリティ基準を独自に策定し、各セキュアOSが認定を受けています。このように、セキュリティ至上主義派という側面もあります。

【関連リンク】 想像以上？！ お隣韓国のセキュアOS事情 （＠IT） http://www.atmarkit.co.jp/fsecurity/special/95korea/korea01.html 韓国における情報セキュリティ政策に関する調査（IPA） http://www.ipa.go.jp/security/fy16/reports/korea_security/documents/ korea_security_2004.pdf

4. SELinux以外のオープンソースセキュアOS陣営

　SELinux以外にもさまざまなセキュアOSがオープンソースOSとして作られました。有名なものとして、AppArmorやLIDS、TOMOYO Linuxなどが挙げられます。これらは、SELinuxのように厳密なセキュリティを目指すというよりは、「よりセキュリティを高めよう」という方向で開発されていることが多いです。SELinuxに対するアンチテーゼという見方もでき、基本的にすべてがカジュアルセキュリティ派です。

　この中で、AppArmorは少し異質です。AppArmorは、Immunixが開発した商用のセキュアOSでしたが、Novellが買収し、オープンソースのセキュアOSとしてSUSE Linuxに取り込みました。

図2　セキュアOSの系譜

　至上主義派とカジュアル派の対立へ

　このように、考え方が異なるセキュリティ至上主義派とカジュアルセキュリティ派ですが、当初、表立った対立はありませんでした。

　いまもそうですが、商用製品陣営（1、3）は、セキュアOSのマーケットを広げることを重視しています。SELinux陣営（2）は、kernel本流にコミットされて以降、使われるようにすることを目指し進化を続けました。そのほかのオープンソースセキュアOS陣営（4）は、SELinuxの設定の難しさを指摘しつつも、SELinux以外の選択肢として独自の進化を続けていました。

　ところが、2005年にNovellがAppArmorを扱うようになって状況が変わってきたといわれています。AppArmor陣営が、SELinuxの使い勝手の悪さを指摘し、AppArmorの優位性を大々的に主張し始めたからです。

【関連リンク】 NovellがImmunixを買収したことを知らせるプレスリリース http://www.novell.com/ja-jp/news/press/ novell_acquires_immunix_delivers_industrys_best_application_security_for_linux AppArmorとSELinuxの比較 http://www.novell.com/linux/security/apparmor/selinux_comparison.html

　これにSELinux陣営が反発します。セキュアOSなどを実装するフレームワーク「LSM」に対し、LSM不要論を提示しました。「kernel本流にコミットしていてLSMを利用しているのはSELinuxだけなので、LSMはいらない（SELinuxだけでよい）」という主張です。こうなると、LSMモジュールとして実装されているAppArmorは困ってしまいます。

【関連リンク】 LSM-MLに提示されたLSM不要論 http://marc.info/?t=114530170700005&r=7&w=2 Linux Kernel Watch 5月版　「LSM不要論」に揺れるSELinux＆AppArmor（＠IT） http://www.atmarkit.co.jp/flinux/rensai/watch2006/watch05b.html

　LSM不要論は、オープンソースセキュアOS陣営を中心に大きな反響を起こしました。AppArmor陣営は、直ちにAppArmorをkernel本流にコミットさせる活動を開始し、LKML（Linux Kernel Mailing List）やLSM-ML（LSM Mailing List）やOttawa Linux Symposium 2006でSELinux陣営と対立しています。

　また、国産のオープンソースセキュアOSであるTOMOYO Linuxも、Ottawa Linux Symposium 2007のBOFで存在をアピールするようです。おそらくkernel本流にコミットさせるための活動の一環でしょう。

　このように、SELinux陣営とそのほかのオープンソースセキュアOS陣営の一部で、対立構造が生まれました。ちなみに、商用セキュアOSの陣営の中にもLSM不要論に反発し、コア部分をkernel本流にコミットさせる動きを見せたベンダがあります。しかし、基本的にはこの対立に距離を置くスタンスをとっているようです。

【関連リンク】 Argus Systems Group Announces an MLS Linux Kernel http://www.argus-systems.com/feature/asgn/asgn20060425/asgn20060425.shtml

2/3

Index
思想の数だけセキュアOSは生まれる
	Page1 軍事機密の保護のために生まれたトラステッドOS トラステッドOSの一般企業への普及は限定的 セキュアOSの誕生 コラム：「セキュアOS」という表現は日本独自？
	Page2 TCSEC以降のセキュアOS開発の思惑 至上主義派とカジュアル派の対立へ
	Page3 思想的な対立点のキーワードは？ 息抜きコラム：セキュアOS用語集　第1回「MAC」

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）