Ottawa Linux Symposium 2008レポート
オタワで聞いた
“Thanks to Japanese Community”の声
中村 雄一
日立ソフトウェアエンジニアリング株式会社
技術開発本部 研究部 技師
2008/8/26
組み込みSELinuxの取り組み――不評でもあきらめるな
筆者からは、「SELinux for Consumer Electronics Devices」というタイトルで、筆者らによる組み込みSELinuxの取り組みを発表しました。
 |
| 写真5 筆者の発表の様子 演台の床が抜けそうで焦りました。英語については、しゃべることをスライドにほとんど盛り込むことで、何とか乗り切りました。質疑応答は、もはや気合あるのみです! |
| 【関連リンク】 中村雄一の発表論文 SELinux for Consumer Electronics Devices http://ols.fedoraproject.org/OLS/Reprints-2008/nakamura-reprint.pdf |
SELinuxの組み込み分野への適用には、サイズの課題があります。チューニングとSEEditで小さなポリシーを作成することで、サイズを削減しました。実際に、SH(Super H)プラットフォーム上に移植・評価し、組み込みにもSELinuxを使えることを実証しました。
発表の後、SELinuxの開発者たちにSEEditに対する感想を聞きました。実は、2006年のSELinux Symposiumにて、SEEditを発表したとき、開発者たちには非常に不評だったのです。理由として挙がったのは、SEEditはrefpolicyと共存できない、パーミッションをまとめることでセキュリティレベルが低下する、ことです。
しかし今回は、SEEditが開発者に受け入れられつつあることが実感できました。彼らは、組み込み向けポリシーを書く場合、refpolicyは使いづらい、設定すべきパーミッションが多すぎると感じているそうです。refpolicyを使わず、パーミッション数も減らしているSEEditが役に立つといってくれました。これは筆者にとって、大きな収穫でした。
BOF: MAC for Glean――TOMOYOのマージのために
TOMOYO Linuxのプロジェクトリーダーの原田季栄氏による、BOFセッションです。原田氏が、これまでのTOMOYO Linux、 AppArmorに関するLSMメーリングリストでの議論を振り返り、TOMOYO Linuxがマージされるにはどうすればいいのか、という質問を会場にしていました。SELinuxのリーダーのStephen Smalley氏より、マージに対する決定権は自分にはないと断ったうえで、「TOMOYOやAppArmor反対派が投げ掛けた疑問に答えていないのではないか?」というコメントがありました。SMACK開発者のCasey Schaufler 氏からは、BOFの後に、いろいろとアドバイスをしてもらえたそうです。TOMOYO Linuxの今後の展開に期待しましょう。
 |
| 写真6 BOF司会の原田季栄氏
|
| 【関連リンク】 当日のスライド MAC for Linux, Time to Glean http://tomoyo.sourceforge.jp/wiki-e/?OLS2008-MAC-BOF |
SMACKも組み込みシステムに最適だ!
SELinux以外で初めてLinuxカーネル本体にマージされたセキュアOSである「SMACK」についての論文発表です。SMACKは、ファイルへの「読み」「書き」アクセス制御のみを提供します。SELinuxがファイル以外のポートやソケットなどに対し、数百種類のパーミッションを制御できるのと対照的です。アクセス制御対象が少ないため、セキュリティポリシー設定も当然小さくなります。メモリ容量が少ない組み込みシステムに、特に適していると主張していました。
ただし、実際に適用した事例は紹介されませんでした。筆者が事例はないのか質問したところ、「事例はあるのだが、顧客との契約の関係上公表できない」とのことでした。
 |
| 写真7 講演者のCasey Schaufler氏 SMACKの開発者です。プライベートな時間の合間にSMACKを作ったとおっしゃっていました。 |
| 【関連リンク】 発表論文 Smack in Embedded Computing http://ols.fedoraproject.org/OLS/Reprints-2008/schaufler-reprint.pdf |
 |
2/3 |
 |
| Index | |
| オタワで聞いた“Thanks to Japanese Community”の声 | |
| Page1 さながら「セキュアOS同窓会」 前夜祭のミニサミット、SELinux Developer Summit SELinuxの進歩を振り返る AppArmorは「ないよりマシ」(悪い意味ではなく) |
|
 |
Page2 組み込みSELinuxの取り組み――不評でもあきらめるな BOF: MAC for Glean――TOMOYOのマージのために SMACKも組み込みシステムに最適だ! |
| Page3 5分で絶対に分かるLinux Symposium登壇の極意 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
