ミラクル・リナックス株式会社エンタープライズプロダクト部 大石 裕司

■はじめに

 「セキュアOS」という用語を耳にしたことがあるだろうか? 耳にしたことはなくても、最近はWeb ニュース記事のサマリなどでは少しずつ目につくようになった用語ではないかと思う。「セキュアOSって何でしょうかねぇ?」と尋ねられれば、初めてその名前を聞いた人でも「そりゃセキュリティを強化したOSなんじゃないですか?」くらいは容易に答えられるだろう。端的に言えばまさにそれは正解だと言ってよいが、その「セキュリティ」がどのような脅威に向けての対策かがもっとも理解すべき重要な部分である。ここではコンピュータシステムで現在求められているセキュリティ、それに対してセキュアOSによって実現できる対策、およびその効果について説明していく。

■セキュアOSって何?

 セキュアOSの知識が少々あるという方の多数が、セキュアOSという名前から連想する製品は「SELinux」であろう。WebでセキュアOS を検索すると、50%以上はSELinux と関連した記事が結果として表示される。しかし、これは「SELinux =セキュアOS」ではなく、SELinux ⊆セキュアOSということである。つまり、セキュアOS とはSELinuxという1 つの製品を指すのではなく、SELinuxなどの製品を含むセキュリティソフトウェアのカテゴリを表すと考えていただきたい。セキュアOSとは、アンチウィルスやファイアウォールといったセキュリティソフトウェアカテゴリと並ぶカテゴリの1 つなのである。但し、日本の各市場調査機関の2004年度セキュリティソフトウェア市場調査においても、セキュアOSというカテゴリはまだ存在しておらず、「その他」の中に分類されているというのが現在の実状である。
 ではそのセキュアOSカテゴリに分類される製品の特徴は何であるかをまとめよう。つい最近までセキュアOSという用語に対する認識は、それを使用する人の解釈でまちまちであり、各人がそれぞれの認識で使用してきた。そのセキュアOSという用語の意味がふらついているという状況にユーザーが混乱し、理解しにくい印象を与えてしまうという懸念から、2004年5月にセキュアOS製品を開発、販売するベンダー企業が多数参加する「セキュアOSと基盤ソフトウエアに関する研究会」において、その用語の意味を明確に定義した。結論は以下のとおりである。

セキュアOSは「いわゆるMAC(強制アクセス制御)」と
「最小特権」の2つの機能を持つOSである


 「OSである」という言い方をしているが、製品によってはOS自体に組み込んだ状態で提供するものもあれば、デバイスドライバファイルのように実行中のカーネルにロードし、OSの一部として機能する製品として提供するものもある。ここであがった「MAC(強制アクセス制御)」と「最小特権」という機能についてそれぞれ説明しよう。
 MAC は、Mandatory Access Control(直訳で強制アクセスコントロール)の略である。強制アクセスコントロールの対象となるものとしては、それぞれのセキュアOS製品ごとにファイル・ディレクトリ、プロセス、ポート、ネットワークパケット、ソケットなど様々であるが、ここでは理解しやすいファイルのアクセス制御を思い浮かべていただき、現在の一般的なOS(Windows やUNIX)で採用されているアクセス制御であるDAC(Discretionary Access Control)の機能との比較を行いたい。
 DACはファイルのアクセス制御の対象となるリソースの所有者が、そのアクセス権限の設定も自由に変更できるという方式である。例えば、UNIX系のシステムにおいて、以下のようにパーミッションの設定が行われているファイルを考えてみよう。

-r--r--r--
(つまり、所有者、所有者グループ、その他ともに読み込みのみ可能)


 この設定では所有者は読み込み権限しか与えられていないのであるが、実際所有者は、このパーミッション(アクセス制御)設定も変更できるため、書き込みも可能なのである。特にシステム管理者であるrootユーザーにおいては、ユーザー、ファイル、ディレクトリなど、全てのリソースの所有者という考え方であるので、DAC によるシステム上のファイルへのパーミッション設定には影響されることなく絶対的な権限を有する。よって、一旦OSやアプリケーションのセキュリティ脆弱性への攻撃などにより、root権限を不正に奪取されてしまった場合には、そのシステム上の全てのファイルに自由にアクセスできてしまうのである。これが現在の一般的なOSにおいて問題視される要因となっている。
 これに対してMACは、ファイルへのアクセス制御設定をセキュリティ管理者といった立場の人間が設定し、一旦設定された設定はシステム管理者の他、一般のユーザーでは変更できない仕組みになっている。つまり、root権限を不正に奪取された場合でも、肝心の重要な情報が入ったファイルへは、自由にアクセスすることができないようになっているのである。


              図1 DAC とMAC の比較

ちなみに、MACには次の2つの実現方式がある。

・MLS(Multi Level Security)

 機密レベルの異なる複数のユーザーが同時にシステムへアクセスできることを言う。MLSを採用したシステムでは、各リソースに重要度に応じたラベルがつけられ、ユーザーはそのラベルに応じてアクセスを許可されたデータだけにアクセスできる。

・RBAC(Role-Based Access Control)

 オブジェクトに対するアクセスの権限を役割(role)に関連付け、この役割をユーザーに割り当てることによって、ユーザーにその役割に許可された権限を獲得させるアクセス制御方式。同時に最小特権の原理を包含する(最小特権については後述を参照)。
 これらは様々なセキュアOS製品の説明文書で目にする機会が多々あると思われるので、セキュアOSに関連する名称として覚えておくとよいだろう。

 次に最小特権についての説明をしよう。最小特権とは、プロセスに対する権限を必要最小限に制限し、もし何らかの攻撃によりそのプロセスを乗っ取られた場合でも、その後の被害を最小に抑える仕組みである。
 例えば、システム外部の攻撃者は特定のプロセス(Webサーバなど)を攻撃して、そのプロセスを起動するために使ったアカウントの権限を奪い、その制限を使って不正なプログラムを入り込ませる。このとき乗っ取られたプロセスが強大な特権を持っていると、そのプロセスだけでなくシステム全体を自由に操作することを許してしまう。そこで、あるアプリケーション(プロセス)を起動する場合に、そのプロセスが働くのに最小限必要な特権だけを持ったアカウントを使うようにしておく。こうすれば、最悪の場合でも被害を最小限に食い止められるというわけである。この仕組みを実装していることが最小特権の機能を持つということである。

■セキュアOSが注目される背景

 最近になって、セキュアOSなどの新しいセキュリティに対する技術が注目されている要因の1つに、2005年4月に予定されている個人情報保護法の施行があげられる。情報が企業利益を左右する現在においては、多数の企業が顧客データなどの個人情報を保有しており、施行まで残りわずかな期間と差し迫った現在でもまだ、全ての個人情報への対策を模索している状況である。特に近年は個人情報漏洩事件が多数発生し、それに伴う被害が巨大化しているが、その背景にはインターネットの普及とそれに伴う個人情報の電子データ化があげられる。データベース化された個人情報などの電子データとして管理されている情報は、一般にコピーが容易であり、インターネットなどの媒体を介して、無制限に配布/交換される恐れがある。この場合、情報流出後の回収はほとんど不可能であり、事業者に半永久的に悪影響を及ぼし続けることになってしまう。

■セキュアOS導入の効果

 では、情報漏えいを防止するために、何をすべきであろうか。

 個人情報保護法の第7条では、政府は個人情報の保護に関する基本的な方向を定めるとしており、第8条において、事業者に関しては個人情報を適切に取り扱うための支援を行うこと、また、有効な実施のための指針の策定を行うとしている。この「指針」が、個人情報保護の「ガイドライン」であり、各企業はこれに従って対策を進めることになる。実際、個人情報保護法の公布以降、政府関係省庁より各事業者に対するガイドラインが発表されてきている。このガイドラインの中では、コンピュータシステムで対応すべきこととして技術的対策があげられており、その対策の1つとして、セキュアOSの採用による情報漏えい防御が各所で検討されている。
 一般によく知られているように、これまでも各企業において、企業の情報を保護する技術的対策として、ファイアウォール、アンチウィルス、メール監視、IDS(侵入検知システム)などが導入されていた。しかし、そういったセキュリティ対策済みと思われていたシステムでも、情報漏えい事件が発生していたのが現実である。その原因は、各技術的対策によって強化されるセキュリティは、それぞれが全体の一部をカバーするものであり、それらの隙をついたシステムへの攻撃が可能であるからだ。
 例えばファイアウォールでは、ネットワークからのアクセスを特定のサービス(ホームページ公開用のWeb サーバーへのアクセスなど)に制限できるものの、そのサービス自体に脆弱性が存在する場合には、攻撃を防ぐことはできない。脆弱性を攻撃する典型的な例としてBOF(バッファ・オーバー・フロー)と呼ばれる攻撃があるが、これらの攻撃は、ファイアウォールだけでは防御することができない。また、今後のセキュリティ対策として注目されているIDSは、システムへの不正な侵入を検知することはできるが、実際の攻撃を防御するわけではない。加えてIDSには、あらかじめ登録されている定義ファイルに適合する攻撃パターンに対処することはできても、未知の攻撃には対応できないことがあるという問題がある。この定義ファイル更新の問題はアンチウィルス製品に関しても同様のことが言える。
 仮にこのような対策により外部からの侵入をすべて阻止できたとしても、それで情報漏えいのリスクがなくなるわけではない。企業規模が巨大化するに従い、外部からと同様に、あるいはそれ以上に内部からのアクセスに対しての対策を検討する必要があるのである。実際、ここ数年の情報漏えい事件は、コンピュータシステムメンテナンス業者による犯罪を含めて、8割以上が企業内部から発生しているものであると言われている。社内の場合、ファイアウォールなどの物理的な制限が少ないため、比較的容易に情報窃盗が可能であると言えるのである。
 このように、既に認知されているセキュリティ対策でも、特定の攻撃に対しては有効に機能するものの、それ以外の攻撃には適切に対応できていないのだ。
 こうした既存の技術的対策で防御できない問題に対応する新たなソリューションの1つがセキュアOSである。これは、従来不正侵入をどう防ぐかに注力していた既存対策に対し、侵入された後の被害拡大を以下に防ぐかに着目するソリューションである。セキュアOSは保護すべき重要な情報リソースへのアクセス制御を強化し、プロセスの特権を最小に制限することにより、外部、内部にかかわらず、不正なアクセス行為を絶対的に防御するのである。


                  図2 最小特権の仕組み

■まとめ

 セキュリティ対策においては、これだけ実施すれば十分であるという程度を明示することが難しい。よって各企業は一般的に知られているファイアウォール、アンチウィルスといったセキュリティ対策の導入により、ある程度の安心を得ていたというのがこれまでの状況であった。ところがこの度の個人情報保護法の施行によって、さらに確実を期すための対策を検討しなければならない状況下に置かれていることを認識していただきたい。
 セキュアOSは、コンピュータシステムのセキュリティ強度を確実に1段階レベルアップさせることができる。もちろんこれで十分であるということではなく、また、セキュアOSを導入することで、ファイアウォールやアンチウィルスなど他の対策をしなくてよいということではない。しかし、個人情報保護法の下では、万が一情報漏えいが発生した場合に最悪企業の倒産までに至るかもしれないという重大性を十分に理解していただき、現状できうる対策の1つとして、セキュアOSの導入を是非検討していただきたい。
 セキュアOSは、これまでに広い範囲では認知されていない、これからの技術であるということから、導入に際して設定が難しいと敬遠される場合がある。例えば、SELinuxを理解しようとしても、基本的な設定はテキストベースで行われるため、第一印象で技術的障壁が高いと思われがちである。ところが、昨今の商用セキュアOS 製品においては、そのインタフェース部分にGUI を導入し、設定の操作性を格段に向上させている。
 ミラクル・リナックス社が提供している商用セキュアOS「MIRACLE HiZARD」も、そういった高度な操作性とともに、セキュアOSとしての基本機能の他、BOF攻撃の防御や、ネットワークアクセス制御などの複数のセキュリティ対策を実装する製品である。
 もしセキュアOS に興味がおありの方は、以下のWeb サイトにアクセスして、可能であれば試用版を利用して直に触っていただきたい。ご想像より格段に簡単な操作で既存システムへのセキュアOS導入が可能であることを理解していただけるであろう。

● http://www.miraclelinux.com/products/hizard/





 

 


Copyright:(C) 2004 BUSINESS COMMUNICATION All Rights Reserved