第1回 なぜセキュアOSが必要なのだろうか

面 和毅
サイオステクノロジー株式会社
インフラストラクチャービジネスユニット
Linuxテクノロジー部
OSSテクノロジーグループ
シニアマネージャ
2005/11/3

 「いまさら何を」という話ですが、Linuxもメジャーになったものです。現在ではWebサーバや何らかのネットワークサーバを構築する際に、コストパフォーマンスを考慮してLinuxを使用するという選択が多くなりました。サポートなどを考慮してもコストの安いLinuxを採用するメリットが大きく、結果として多くのLinuxサーバがネットワーク上に存在しています。

 また、アプライアンス製品にもLinuxが普及してきています。ウイルス対策、IPS(不正侵入防御システム)、Webプロキシやファイルサーバなどのアプライアンス製品でも、カスタマイズされたLinuxが使用されています。今日のネットワークに接続されている製品の中で、LinuxがOSとして使用されているケースはかなりの数になるのではないかと思われます。

 さらに最近では、携帯電話やHDDレコーダなどにもインターネット接続機能が求められています。メーカーは専用OSを独自に開発するコストを嫌って、Linuxなどの汎用OSを採用しつつあります。皆さんの身の回りにもLinuxを使用している製品が増えているのです。

 このようにLinuxが幅広い製品で利用されるようになった結果、いままで以上にセキュリティを重視する必要が生じました。また、セキュリティパッチが用意される前に脆弱性を利用した攻撃が始まってしまう、いわゆるゼロデイ攻撃もすでに成立しています。

 そこで、いままでのOSでは十分に行われていなかったアクセス制御をきちんと行って、より強いセキュリティを保とうという考えが生まれました。「セキュアOS」という考え方です。セキュアOSにはいくつかの種類が存在しますが、この連載ではその中から「LIDS」を紹介したいと思います。

 組み込み製品におけるセキュリティリスクの高まり

 LIDSの解説に入る前に、セキュアOSが求められる背景を分析してみましょう。組み込み製品やアプライアンス製品などがLinuxなどの汎用OSを使用してネットワークに接続されるようになったことにより、新たなセキュリティ上のリスクが発生しています。

 通常のPCやサーバを使用している場合、次々に現れる新たな攻撃手法に対抗するためのリサーチが欠かせません。ホストごとにHIDS(ホスト型不正侵入検知システム)を入れて侵入があったかどうかの検知を行ったり、ネットワーク全体をNIDS(ネットワーク型不正侵入検知システム)で監視を行ったりします。必要ならばIPSを用いて怪しい通信を遮断しなくてはなりません。

 また、システムで使用しているソフトウェアに脆弱性が発見された場合には、その脆弱性によってどのような影響があるのかを判断し、パッチを当てるなどの対応が必要になります。この作業のための手間は頻繁に発生します。

 このように、通常のPCやサーバに関しては各種セキュリティを考慮した設計やリスクに対する日常業務内での対応方法が確立されています。しかし、組み込み製品に関してはパフォーマンスの追求が重視され、セキュリティに関する意識は薄かったといえます。

 なぜならば、いままでの組み込み製品は専用のハードウェアとOSで構成され、専用のネットワークで接続されていました。故に、

  • 個別の専用OS・ソフトウェアを使用しているため、狙われる確率が低い
  • 専用のネットワークを通して攻撃を仕掛けてくる者は少ない

といった事情により、セキュリティをあまり考慮しなくても攻撃を受けることがほとんどない状態だったのです。

 しかし、さまざまな理由からセキュリティを考えなくてはならない時期にきています。その理由とは、

  • コストダウンのためにLinuxなどの汎用OSを使用するようになった
  • メールやWebブラウジングを行いたいというユーザーの要望によりインターネットに接続するようになった

というものです。もはや組み込み製品といえども、普通のPCと変わらないセキュリティリスクに晒されているのです。

 組み込み製品が抱える課題

 組み込み製品が抱える課題を浮き彫りにするために、PCと比べて異なる点を挙げてみます。

 専門知識を持たないユーザーでも簡単に使用できるというのは組み込み製品のメリットです。しかし、セキュリティに関心を持たない層がユーザーになる可能性が圧倒的に高くなることにつながります。例えば、携帯電話は個人情報の塊ですが、内部データを漏えいするようなウイルスが発生した場合には大打撃となり得ます。

 また、一度出荷したら頻繁にアップデートすることは難しいといえます。脆弱性を持ったままの製品がネットワークに接続され続ける可能性が高いでしょう。しかも、携帯電話やPDAなどからDVDレコーダに至るまで、さまざまな製品が対象となるため絶対数がPCと比較になりません。

 ユーザーに対してオンラインでアップデートさせる方法を徹底させることは難しいでしょう。実際に情報漏えい事故が発生して回収が必要になったとしたら企業にとって大きなダメージになります。

 さらに製品出荷数の多さは、組み込み機器を乗っ取ってDoS攻撃を仕掛けるようなワームが発生した場合、現状では考えられないほどのネットワーク帯域の占有やダメージが発生する可能性があります。テロ行為などに使われる可能性も否定できません。

 実際に携帯電話経由で感染するワーム「Cabir」が出現したり、携帯用デジタルオーディオプレイヤーにマスメーラー型ウイルス「W32.Wullik.B@mm」が混入されていたりしました。HDDレコーダがスパムの踏み台に悪用されたケースもあります。また、つい最近でも携帯型ゲーム機「PSP」や「ニンテンドーDS」を狙ったワームなども登場しています。

1/2

Index
なぜセキュアOSが必要なのだろうか
Page1
組み込み製品におけるセキュリティリスクの高まり
組み込み製品が抱える課題
  Page2
セキュアOSの誕生
直感的で分かりやすいLIDS
LIDSに関する情報源


Security&Trust記事一覧

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH