最終回 商用セキュアOS、その思想と現実

田口　裕也
Linuxコンソーシアムセキュリティ部会
2007/9/13

セキュアOSがなぜ登場したのか、歴史と思想を追いかけてきたこの連載も今回が最終回です。今回はセキュアOSがどのように実社会に導入されつつあるのか、商用セキュアOSのいまを解説していきます（編集部）

---

　これまで連載してきた「セキュアOSの思想」では、主にオープンソースのセキュアOSを例に解説をしてきました。しかしセキュアOSの歴史から見ると、商用セキュアOS（トラステッドOS）の方が歴史も長く、導入実績も多いのでより理解を深めるには商用セキュアOS製品についても理解しておくとよいでしょう。

　日本国内において、オープンソースのセキュアOSの導入がなかなか進まないのに対し、商用製品は多くの企業へ導入されています。今回は商用セキュアOSの基本的な思想に加え、これまでのセキュアOSの思想の方向性と重ねて、どんな機能が追加されたのかを紹介します。

　商用セキュアOSの本場はアメリカ、そして韓国

　日本国内でも多くのセキュアOSが導入されるようになってきました。しかしそこで選択されている商用セキュアOSは、海外で開発されたものが多いのが現状です。オープンソースでは「TOMOYO Linux」が代表的な日本国産のセキュアOSとして紹介されていますが、現在、商用製品として開発された国産のセキュアOSは存在していません。

　そのため、国内で入手することができる商用セキュアOSのほとんどは米国か韓国で開発されたものに分けることができます。それぞれの思想や特徴について実際の製品名を交えながら解説していきましょう。

　あのOSの名前も？ 米国の商用セキュアOS

　セキュアOSには、第1回で提示された2つの流れがあることを思い出してください。「セキュリティ至上主義派」と呼ばれる、軍事機関でも使用されることを想定して開発されたセキュアOSと、「カジュアル派」と呼ばれる、なるべく直感的に誰でも容易に利用できることを優先して開発されたセキュアOSがあることです。

　米国で開発された商用セキュアOSのほとんどは、セキュリティ至上主義派に分けることができます。これには現在のOS市場が米国製品でほぼ独占されている背景もありますが、OSベンダは民間企業向けだけではなく、軍事、政府機関を対象にしたセキュリティ機能の高いOSも開発する必要がありました。そのため、主要なUNIXのOSベンダは通常のOSだけではなく、トラステッド版OSも開発しています。

代表的なOSベンダ	OS	トラステッド版OS
サン・マイクロシステムズ	Solaris	Trusted Solaris 8
		Trusted Extensions （Solaris10 11/06以降）
hp	HP-UX	Trusted HP-UX
		VirtualVault【注1】
IBM	AIX	Trusted AIX （AIX6で拡張予定）
SGI	IRIX	Trusted IRIX

表1　主要なUNIX系OSのトラステッド版OS

【注1】 VirtualVaultはすでに販売が停止されていますが、HP-UX11iv2から搭載されたSecurity Containmentで同様の機能を実現することができます。

　基本的に米国で開発されたセキュアOS（トラステッドOS）は、ラベルを使用したMLS形式の強制アクセス制御機能を採用しています。もともとトラステッド版OSが開発された理由は、軍事、政府機関向けの大量導入をターゲットとしているためです。以前はTCSEC（Trusted Computer System Evaluation Criteria）のB1レベル以上、現在は情報セキュリティ国際評価基準であるCC（Common Criteria）において、LSPP（Labeled Security Protection Profile）でEAL4+以上を取得することが必要ですから、トラステッド版として別に開発することが必然となったのでしょう。

【関連記事】 SELinuxの最新動向（7） Multi Level Securityでより厳密なポリシーを実現する http://www.atmarkit.co.jp/fsecurity/rensai/selinux07/selinux01.html

　例としてTrusted Solarisの導入事例を調べてみると、米国防総省に多く導入されていたり、米海軍へシンクライアントのSunRayと組み合わせて導入されるなど、高度なセキュリティ対策を要求される場所に導入されていることが分かります。

　なお、商用として提供されていたTrusted Solarisのセキュリティ機能は、Solaris10 11/06より「Trusted Extensions」となって機能拡張ができるように提供されています。さらに、AIXにはAIX6からMLSを実装できる「Trusted AIX」の機能拡張オプションの提供が予定されています。

　Red Hat Enterprise LinuxにSELinuxが標準機能として搭載されたように、主要なUNIXにもセキュアOS機能が標準機能として提供されるようになっている傾向を見ることができます。

【関連記事】 Red Hat Enterprise Linux 5で始めるSELinux http://www.atmarkit.co.jp/fsecurity/special/97rhel/rhel01.html

　例外動作を定義し、より運用しやすいモデルに

　第2回ではセキュリティ至上主義派のセキュアOSの特徴として、アクセス制御の仕組みを数学的に証明できるセキュリティポリシーモデルを採用することが取り上げられていました。特にラベルを使用したMLS形式の強制アクセス制御では、現実的な使い勝手の面で問題があるといわれています。その問題点とは第3回でも取り上げたように、アプリケーションがうまく動作しないという、ラベルの維持、管理の問題などです。

　そのため、必ずしも厳密にセキュリティポリシーモデルのアクセス制御動作に合わせるのではなく、必要に応じて強制アクセス制御の動作を例外的に適用しない仕組みが用意されています。

　例としてX Window System上でMLS形式の強制アクセス制御機能を実現すると、異なるラベル間でのコピー＆ペーストができなくなります。しかし、これでは厳格すぎる場合もあるので、実際の実装ではコピー＆ペーストの動作があった場合、管理者のパスワード認証画面が表示され、許可されればコピー＆ペーストを行うことが可能になっているのです。

　さらに、例外動作を許可する仕組みとして「特権（Privilege）」と「権限（Authorization）」の機能が実装されています。この2つの機能について、もう少し詳しく見ていきましょう。

1/3

Index
商用セキュアOS、その思想と現実
	Page1 商用セキュアOSの本場はアメリカ、そして韓国 あのOSの名前も？ 米国の商用セキュアOS 例外動作を定義し、より運用しやすいモデルに
	Page2 例外動作の実装：特権（Privilege） 例外動作の実装：権限（Authorization） 民間市場もターゲットにした商用セキュアOS
	Page3 韓国で開発された商用セキュアOS 情報保護の「思想」にあったセキュアOSを選ぼう 息抜きコラム：最終回「Type Enforcement（TE）」

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）