最終回 商用セキュアOS、その思想と現実
田口 裕也
Linuxコンソーシアムセキュリティ部会
2007/9/13
例外動作の実装:特権(Privilege)
通常、ラベルが付与されているファイル(オブジェクト)へは、セキュリティポリシー上で許可されたラベルが付与されているプロセス(サブジェクト)しかアクセスすることができません。
システムの運用上どうしてもMLSの仕組みでは実装できないような場合は、必要に応じてプロセスに特権を付与することによって例外的にMLSのアクセス制御構造を飛び越えて動作することができるようになります(図1)。つまり、特権を使用することによって強制アクセス制御を回避することができる実装がされているのです。
 |
| 図1 特権の動作 |
特権は通常30個程度に分割されていますが、特権は例外動作を許可するので、場合によってはシステムに損害を与える危険性も含んでいます。そのため、むやみに設定してしまうのは望ましくありません。システム運用の利便性とセキュリティ強度のバランスを維持することを意識して設定する必要があります。
例外動作の実装:権限(Authorization)
誰でも自由に特権を使用することができてしまうと、セキュリティ上大変な脅威となります。そこであらかじめ決められた権限を、許可されたユーザーのみ使用できるという制限を加えています(図2)。これは、「認可」とも呼ばれています。
また、アプリケーションのプロセスも同様で、どのユーザーがアプリケーションのプロセスを起動するかによって、付与される特権を変えて動作させることができます。
 |
| 図2 権限の動作 |
特権と権限は組み合わせて使用するので、関係を表すと以下のような図になります(図3)。
 |
| 図3 特権と権限の関係 |
さらに、システム全体にラベルを付与すると維持、管理の面に手間がかかるということから、ラベルを使用するメリットと、維持、管理のしやすさのバランスを取る必要があります。
この機能を実現した商用製品として、Argusの「PitBull LX」があります。これは、ラベルをシステムの一部に付与することによって、ラベルが付与されたプロセスやファイルのみをセキュアOSで保護し、そのほかの部分は通常のシステムどおりに扱うことができるような仕組みです。
ラベルが付与されていないプロセスが、ラベルが付与されているファイルにアクセスすると強制アクセス制御は無効な状態になるので、アクセスすることができます。アクセスを行うには、ラベルが付与されたプロセス、ファイル同士である必要があります。SELinuxのtargetedポリシーも似たような概念でしょう。
つまり、セキュリティ至上主義で開発された商用セキュアOSでも、実際にはある程度のセキュリティ強度を下げる機能を使うことによって、使い勝手の面を考えた機能が実装されているのが現実です。
民間市場もターゲットにした商用セキュアOS
米国で開発されたセキュリティ至上主義派セキュアOSの中でも、Argusが開発したセキュアOSであるPitBullシリーズは民間企業にも適用できるような方向性を持って開発されています。基本的にはセキュリティ至上主義派の思想をベースに、ラベルを使用した強制アクセス制御機能を中心に実装されていますが、民間市場にとってなるべく扱いやすくなるよう、DMZに配置するサーバを構築、運用するためにラベルを認識できる便利なセキュリティツールが搭載されているのが特徴です。
現在の製品名は「PitBull Foundation Suite」ですが、以前は「PitBull.comPack」と呼ばれていたことから、セキュアOSでWebサービスを提供するサーバ向けとして開発されていることが読み取れます。これによって主に軍事機関に導入されていたセキュアOS(トラステッドOS)が民間市場にも導入されるようになりました。
特にセキュリティ対策に敏感な金融機関などに多く導入された実績があります。代表的な導入事例はクレディスイス銀行やJPモルガン・チェース銀行、イーバンク銀行などです。また、日本の金融機関にも導入実績がある「hp VirtualVault」もWebサーバ専用の製品として開発されていました。
 |
2/3 |
 |
| Index | |
| 商用セキュアOS、その思想と現実 | |
| Page1 商用セキュアOSの本場はアメリカ、そして韓国 あのOSの名前も? 米国の商用セキュアOS 例外動作を定義し、より運用しやすいモデルに |
|
 |
Page2 例外動作の実装:特権(Privilege) 例外動作の実装:権限(Authorization) 民間市場もターゲットにした商用セキュアOS |
| Page3 韓国で開発された商用セキュアOS 情報保護の「思想」にあったセキュアOSを選ぼう 息抜きコラム:最終回「Type Enforcement(TE)」 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
