セキュアOS動向解説

日本のセキュアOSを支える5つのプロジェクト

中村　雄一
日本SELinuxユーザ会
2007/4/20

韓国はセキュアOSを国策として取り入れ、大いに盛り上がっている。しかし日本も負けてはいない。企業や個人を中心として活動する日本発のプロジェクトも存在し、フィードバックを欲している。その中から代表的な5つのセキュアOS関連プロジェクトを紹介しよう（編集部）

---

　「想像以上？！ お隣韓国のセキュアOS事情」で紹介したように、韓国ではさまざまな商用セキュアOSが開発されています。日本では商用セキュアOSの開発は、残念ながらほとんど行われていません。しかし、「オープンソースのセキュアOS」に対する開発活動では、日本は世界の中でも、むしろ盛んな部類に入っています。

　先日開催された、「オープンソースカンファレンス（OSC）2007 Tokyo／Spring」でも、セキュアOSユーザ会（日本SELinuxユーザ会の別名）および、Linuxコンソーシアムセキュリティ部会が、日本国内での開発活動を紹介していました。今回は、OSCで得られた話を交えつつ、国内セキュアOS開発事情を紹介します。

　オープンソースソフトウェア特有の事情がある

　日本国内では、表1のような開発活動が行われています。

中心組織	プロジェクト名	活動内容
企業	TOMOYO Linux	国産セキュアOSを開発
	SELinux Policy Editor	SELinuxを簡単にするツールを開発
コミュニティ	se-BusyBoxプロジェクト	組み込み分野にSELinuxを適用
個人	LIDS	セキュアOS LIDSのインストールパッケージなどを開発
	se-PostgreSQL	PostgreSQLのセキュリティ強化

表1　日本国内で活動している代表的なセキュアOS関連プロジェクト

　これらは、オープンソースソフトウェア（以下、OSS）で開発が行われているため、OSS特有の事情があります。

　先日のOSCの中で「セキュアOS開発BOF」というイベントが開催され、開発者たちの間で意見が交わされました。開発者共通の悩みとして、「コミュニティのモチベーションを維持し、継続的な活動をするための支援が欲しい」ということがあります。これらのOSSの発祥は企業、個人、コミュニティとさまざまで、モチベーションもさまざまです。

　企業発祥のオープンソースプロジェクトの場合は、企業の知名度向上や、そのOSSを利用したシステム構築やサービスを提供することを目指していることもあります。個人やコミュニティの場合は、趣味や自己啓発で行われることがあります。

　しかし、どのプロジェクトにも共通する思いとしては、「開発へどんどん参加してほしい、フィードバックが欲しい！」というところです。多くの人からのコンタクトが、モチベーションを高めるのに大いに役立つようです。開発者たちは、皆さまの想像以上に、利用者と接したがっています。読者の皆さまも、今回紹介するプロジェクトの中で、興味があるものがあれば、どんどん開発者の方にコンタクトを取ってみてはいかがでしょうか？

【関連リンク】 セキュアOS開発BOF(OSC2007資料) http://www.selinux.gr.jp/documents/OSC_BOF.pdf

　では、主な国内のセキュアOS関連プロジェクトを順番に紹介しましょう。

　TOMOYO Linux：国産セキュアOSの代表格

　「TOMOYO Linux」は、国産のオープンソースのセキュアOSです。NTTデータにより開発され、2005年11月にGPLライセンスにて公開されたものです。既存カーネルのパッチとして実装されています。Fedora Core、Cent OS、Debianなどに対するインストールパッケージも公開されています。

　セキュアOSの代表格ともいえるSELinuxは、アクセス制御設定が細かくできる反面、ポリシー（アクセス制御設定）が複雑になり、使い勝手が犠牲にされていました。TOMOYO Linuxの最大の特徴は、「アクセス制御の細かさ」と「使い勝手」を両立した点です。

　TOMOYO Linuxは、ファイルアクセス制御以外にも、ネットワークリソースやシグナルなどきめ細かいアクセス制御を行うことができます。一般的に、アクセス制御が細かくなると、設定項目も多くなり、設定が面倒になってしまいがちです。TOMOYO Linuxは、「ポリシーの学習機能」によりこの問題を解決しています。学習機能をサポートするために、TOMOYO Linuxには、「学習モード」というモードがあります。

　ポリシーを設定する場合は、まずTOMOYO Linuxを学習モードにします。この状態でアプリケーションを動作させると、TOMOYO Linuxは、プロセスのアクセス履歴を取得し、必要なポリシーを自動的に生成してくれます。TOMOYO Linuxに関するドキュメントも十分に整備されており、プロジェクトのホームページに日本語で用意されています。

　もう1つ、TOMOYO Linuxの大きな利点の1つとして、開発者との距離が近い、ということがあります。OSCにて開発者から出た話によると、TOMOYO Linux開発チームは、常に「はてなダイアリー」などのブログを巡回しており、そこでTOMOYO Linuxへの要望事項を見つけると、即反応することもあるそうです。さらに、TOMOYO Linuxは現在、開発者、テスターをオープンに募集しています。興味のある方は、TOMOYO Linux wikiを参考に応募してみてはいかがでしょうか。

【関連リンク】 TOMOYO Linux http://tomoyo.sourceforge.jp/

　LIDS：伝統ある「使いやすい」セキュアOS

　「LIDS（Linux Intrusion Detection System）」は、Xuaguang Xie氏によって開発された、セキュアOSの一種です。公開は1999年と、主要なOSS セキュアOSの中では、最も歴史が古いものです。LIDSは、簡便なアクセス制御設定を特徴としており、SELinuxより簡単に使うことができます。

　LIDSの開発チームには日本からも「セキュアOS『LIDS』入門」を執筆していた面 和毅氏が参加しており、インストールパッケージの開発などを行っています。ただし、面氏によると、LIDSの主要開発者の活動が停滞気味とのことです。現在は同氏は開発作業を再開していますが、 協力者を募集しているということです。意欲がある方はぜひ、面氏をはじめとする開発陣まで（もしくは直接面氏のメールアドレスomok@honto.infoまで）申し出てみてはいかがでしょうか。

【関連リンク】 LIDS Japanese Information http://www.selinux.gr.jp/LIDS-JP/ セキュアOS「LIDS」入門 − ＠IT（全13回） http://www.atmarkit.co.jp/fsecurity/rensai/lids01/lids01.html

1/2

Index
日本のセキュアOSを支える5つのプロジェクト
	Page1 オープンソースソフトウェア特有の事情がある TOMOYO Linux：国産セキュアOSの代表格 LIDS：伝統ある「使いやすい」セキュアOS
	Page2 se-BusyBox：組み込み機器にもセキュアOSの力を se-PostgreSQL：セキュリティ強化版PostgreSQL SELinux Policy Editor：手軽にSELinux 世界に羽ばたけ！ 日本発プロジェクト

関連記事
	連載：SELinuxの最新動向
	連載：セキュアOS「LIDS」入門
	SELinux Policy EditorでSELinuxを簡単に
	Red Hat Enterprise Linux 5で始めるSELinux
	想像以上？！ お隣韓国のセキュアOS事情（前）／（後）

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）