Tweet

日本IBMとAISTが共同で実証実験

KNOPPIXとTPMの組み合わせで「安全なサービス」実現へ

2008/02/07

　CD-RやDVD-Rから起動可能なLinuxディストリビューション「KNOPPIX」と、暗号鍵の生成、保管などを行うハードウェア的なセキュリティ機構Trusted Platform Module（TPM）を組み合わせ、PCおよびそこで利用するサービスのセキュリティを確保するための実証実験が行われる。

　日本IBMと産業総合研究所（AIST）は2月7日、新たなセキュリティインフラストラクチャの開発に向けた実証実験を共同で展開することを発表した。TPM（セキュリティチップ）を搭載したPC上の検証ソフトウェアと外部の検証サーバが連動し、PC上のソフトウェアに脆弱性がないか、あるいは不正な改ざんやマルウェア感染などの異常が発生していないかどうかをチェックする。もし不正が検出されると、その端末はサービス提供サーバに接続できなくなる仕組みだ。SaaSなどを展開するサーバに接続する前に端末のセキュリティを検査することで、サーバおよびその利用者を保護できるという。

　同様の機構は、エージェントソフトや認証スイッチなどを組み合わせた検疫ネットワークでも実現できる。これに対しこのインフラでは、ソフトウェアのハッシュ値をTPMに記録することで情報を物理的に保護し、その情報を外部サーバに保管された情報と突き合わせて検証を行うため、改ざんなどをより確実に検出できる。特に、従来のセキュリティ対策ソフトでは困難だったルートキットの検出も可能という。

　実験では、KNOPPIXにトラステッド・コンピューティングを活用した検証用ソフトウェア「Open Platform Trust Services」を組み込んだ「KNOPPIX511 Trusted Computing Geeks v1.0」を配布。TPM搭載のPCを所有するユーザーがCDに書き込み、起動すると、ネットワークを介して正しいDebianパッケージが使われているかが検証できる。具体的には、IBM側に置かれた検証サーバとの間でリモートアテステーションが行われ、「正しい起動が行なわれていること」の構成検証と「利用しているパッケージに脆弱性がないこと」の脆弱性検証が可能になる。

脆弱性パッケージが発見された場合の警告画面

　なお実験では、検証の効果を確認するため、あえて既知の脆弱性を含んだWebブラウザが含まれたイメージが配布されている。これをアップデートしない限り、脆弱性情報検索デモサービスには接続できない。

パッケージを更新し、構成検証に成功すると、脆弱性情報データベースへの接続が可能になる

　実証実験は、経済産業省の「新世代情報セキュリティ研究開発事業」の一環として、3月末まで行われる。KNOPPIX511 Trusted ComputingGeeks v1.0のイメージは、AISTのWebサイトからダウンロード可能だ。