セキュアOS動向解説
日本のセキュアOSを支える5つのプロジェクト
中村 雄一
日本SELinuxユーザ会
2007/4/20
韓国はセキュアOSを国策として取り入れ、大いに盛り上がっている。しかし日本も負けてはいない。企業や個人を中心として活動する日本発のプロジェクトも存在し、フィードバックを欲している。その中から代表的な5つのセキュアOS関連プロジェクトを紹介しよう(編集部)
「想像以上?! お隣韓国のセキュアOS事情」で紹介したように、韓国ではさまざまな商用セキュアOSが開発されています。日本では商用セキュアOSの開発は、残念ながらほとんど行われていません。しかし、「オープンソースのセキュアOS」に対する開発活動では、日本は世界の中でも、むしろ盛んな部類に入っています。
先日開催された、「オープンソースカンファレンス(OSC)2007 Tokyo/Spring」でも、セキュアOSユーザ会(日本SELinuxユーザ会の別名)および、Linuxコンソーシアムセキュリティ部会が、日本国内での開発活動を紹介していました。今回は、OSCで得られた話を交えつつ、国内セキュアOS開発事情を紹介します。
オープンソースソフトウェア特有の事情がある
日本国内では、表1のような開発活動が行われています。
中心組織 |
プロジェクト名 |
活動内容 |
企業 | TOMOYO Linux | 国産セキュアOSを開発 |
SELinux Policy Editor | SELinuxを簡単にするツールを開発 | |
コミュニティ | se-BusyBoxプロジェクト | 組み込み分野にSELinuxを適用 |
個人 | LIDS | セキュアOS LIDSのインストールパッケージなどを開発 |
se-PostgreSQL | PostgreSQLのセキュリティ強化 |
表1 日本国内で活動している代表的なセキュアOS関連プロジェクト |
これらは、オープンソースソフトウェア(以下、OSS)で開発が行われているため、OSS特有の事情があります。
先日のOSCの中で「セキュアOS開発BOF」というイベントが開催され、開発者たちの間で意見が交わされました。開発者共通の悩みとして、「コミュニティのモチベーションを維持し、継続的な活動をするための支援が欲しい」ということがあります。これらのOSSの発祥は企業、個人、コミュニティとさまざまで、モチベーションもさまざまです。
企業発祥のオープンソースプロジェクトの場合は、企業の知名度向上や、そのOSSを利用したシステム構築やサービスを提供することを目指していることもあります。個人やコミュニティの場合は、趣味や自己啓発で行われることがあります。
しかし、どのプロジェクトにも共通する思いとしては、「開発へどんどん参加してほしい、フィードバックが欲しい!」というところです。多くの人からのコンタクトが、モチベーションを高めるのに大いに役立つようです。開発者たちは、皆さまの想像以上に、利用者と接したがっています。読者の皆さまも、今回紹介するプロジェクトの中で、興味があるものがあれば、どんどん開発者の方にコンタクトを取ってみてはいかがでしょうか?
【関連リンク】 セキュアOS開発BOF(OSC2007資料) http://www.selinux.gr.jp/documents/OSC_BOF.pdf |
では、主な国内のセキュアOS関連プロジェクトを順番に紹介しましょう。
TOMOYO Linux:国産セキュアOSの代表格
「TOMOYO Linux」は、国産のオープンソースのセキュアOSです。NTTデータにより開発され、2005年11月にGPLライセンスにて公開されたものです。既存カーネルのパッチとして実装されています。Fedora Core、Cent OS、Debianなどに対するインストールパッケージも公開されています。
セキュアOSの代表格ともいえるSELinuxは、アクセス制御設定が細かくできる反面、ポリシー(アクセス制御設定)が複雑になり、使い勝手が犠牲にされていました。TOMOYO Linuxの最大の特徴は、「アクセス制御の細かさ」と「使い勝手」を両立した点です。
TOMOYO Linuxは、ファイルアクセス制御以外にも、ネットワークリソースやシグナルなどきめ細かいアクセス制御を行うことができます。一般的に、アクセス制御が細かくなると、設定項目も多くなり、設定が面倒になってしまいがちです。TOMOYO Linuxは、「ポリシーの学習機能」によりこの問題を解決しています。学習機能をサポートするために、TOMOYO Linuxには、「学習モード」というモードがあります。
ポリシーを設定する場合は、まずTOMOYO Linuxを学習モードにします。この状態でアプリケーションを動作させると、TOMOYO Linuxは、プロセスのアクセス履歴を取得し、必要なポリシーを自動的に生成してくれます。TOMOYO Linuxに関するドキュメントも十分に整備されており、プロジェクトのホームページに日本語で用意されています。
もう1つ、TOMOYO Linuxの大きな利点の1つとして、開発者との距離が近い、ということがあります。OSCにて開発者から出た話によると、TOMOYO Linux開発チームは、常に「はてなダイアリー」などのブログを巡回しており、そこでTOMOYO Linuxへの要望事項を見つけると、即反応することもあるそうです。さらに、TOMOYO Linuxは現在、開発者、テスターをオープンに募集しています。興味のある方は、TOMOYO Linux wikiを参考に応募してみてはいかがでしょうか。
【関連リンク】 TOMOYO Linux http://tomoyo.sourceforge.jp/ |
LIDS:伝統ある「使いやすい」セキュアOS
「LIDS(Linux Intrusion Detection System)」は、Xuaguang Xie氏によって開発された、セキュアOSの一種です。公開は1999年と、主要なOSS セキュアOSの中では、最も歴史が古いものです。LIDSは、簡便なアクセス制御設定を特徴としており、SELinuxより簡単に使うことができます。
LIDSの開発チームには日本からも「セキュアOS『LIDS』入門」を執筆していた面 和毅氏が参加しており、インストールパッケージの開発などを行っています。ただし、面氏によると、LIDSの主要開発者の活動が停滞気味とのことです。現在は同氏は開発作業を再開していますが、 協力者を募集しているということです。意欲がある方はぜひ、面氏をはじめとする開発陣まで(もしくは直接面氏のメールアドレスomok@honto.infoまで)申し出てみてはいかがでしょうか。
【関連リンク】 LIDS Japanese Information http://www.selinux.gr.jp/LIDS-JP/ セキュアOS「LIDS」入門 − @IT(全13回) http://www.atmarkit.co.jp/fsecurity/rensai/lids01/lids01.html |
1/2 |
Index | |
日本のセキュアOSを支える5つのプロジェクト | |
Page1 オープンソースソフトウェア特有の事情がある TOMOYO Linux:国産セキュアOSの代表格 LIDS:伝統ある「使いやすい」セキュアOS |
|
Page2 se-BusyBox:組み込み機器にもセキュアOSの力を se-PostgreSQL:セキュリティ強化版PostgreSQL SELinux Policy Editor:手軽にSELinux 世界に羽ばたけ! 日本発プロジェクト |
関連記事 | |
連載:SELinuxの最新動向 | |
連載:セキュアOS「LIDS」入門 | |
SELinux Policy EditorでSELinuxを簡単に | |
Red Hat Enterprise Linux 5で始めるSELinux | |
想像以上?! お隣韓国のセキュアOS事情(前)/(後) |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|