最終回 商用セキュアOS、その思想と現実


田口 裕也
Linuxコンソーシアムセキュリティ部会

2007/9/13


 例外動作の実装:特権(Privilege)

 通常、ラベルが付与されているファイル(オブジェクト)へは、セキュリティポリシー上で許可されたラベルが付与されているプロセス(サブジェクト)しかアクセスすることができません。

 システムの運用上どうしてもMLSの仕組みでは実装できないような場合は、必要に応じてプロセスに特権を付与することによって例外的にMLSのアクセス制御構造を飛び越えて動作することができるようになります(図1)。つまり、特権を使用することによって強制アクセス制御を回避することができる実装がされているのです。

図1 特権の動作

 特権は通常30個程度に分割されていますが、特権は例外動作を許可するので、場合によってはシステムに損害を与える危険性も含んでいます。そのため、むやみに設定してしまうのは望ましくありません。システム運用の利便性とセキュリティ強度のバランスを維持することを意識して設定する必要があります。

 例外動作の実装:権限(Authorization)

 誰でも自由に特権を使用することができてしまうと、セキュリティ上大変な脅威となります。そこであらかじめ決められた権限を、許可されたユーザーのみ使用できるという制限を加えています(図2)。これは、「認可」とも呼ばれています。

 また、アプリケーションのプロセスも同様で、どのユーザーがアプリケーションのプロセスを起動するかによって、付与される特権を変えて動作させることができます。

図2 権限の動作

 特権と権限は組み合わせて使用するので、関係を表すと以下のような図になります(図3)。

図3 特権と権限の関係

 さらに、システム全体にラベルを付与すると維持、管理の面に手間がかかるということから、ラベルを使用するメリットと、維持、管理のしやすさのバランスを取る必要があります。

 この機能を実現した商用製品として、Argusの「PitBull LX」があります。これは、ラベルをシステムの一部に付与することによって、ラベルが付与されたプロセスやファイルのみをセキュアOSで保護し、そのほかの部分は通常のシステムどおりに扱うことができるような仕組みです。

 ラベルが付与されていないプロセスが、ラベルが付与されているファイルにアクセスすると強制アクセス制御は無効な状態になるので、アクセスすることができます。アクセスを行うには、ラベルが付与されたプロセス、ファイル同士である必要があります。SELinuxのtargetedポリシーも似たような概念でしょう。

 つまり、セキュリティ至上主義で開発された商用セキュアOSでも、実際にはある程度のセキュリティ強度を下げる機能を使うことによって、使い勝手の面を考えた機能が実装されているのが現実です。

 民間市場もターゲットにした商用セキュアOS

 米国で開発されたセキュリティ至上主義派セキュアOSの中でも、Argusが開発したセキュアOSであるPitBullシリーズは民間企業にも適用できるような方向性を持って開発されています。基本的にはセキュリティ至上主義派の思想をベースに、ラベルを使用した強制アクセス制御機能を中心に実装されていますが、民間市場にとってなるべく扱いやすくなるよう、DMZに配置するサーバを構築、運用するためにラベルを認識できる便利なセキュリティツールが搭載されているのが特徴です。

 現在の製品名は「PitBull Foundation Suite」ですが、以前は「PitBull.comPack」と呼ばれていたことから、セキュアOSでWebサービスを提供するサーバ向けとして開発されていることが読み取れます。これによって主に軍事機関に導入されていたセキュアOS(トラステッドOS)が民間市場にも導入されるようになりました。

 特にセキュリティ対策に敏感な金融機関などに多く導入された実績があります。代表的な導入事例はクレディスイス銀行やJPモルガン・チェース銀行、イーバンク銀行などです。また、日本の金融機関にも導入実績がある「hp VirtualVault」もWebサーバ専用の製品として開発されていました。

2/3

Index
商用セキュアOS、その思想と現実
  Page1
商用セキュアOSの本場はアメリカ、そして韓国
あのOSの名前も? 米国の商用セキュアOS
例外動作を定義し、より運用しやすいモデルに
Page2
例外動作の実装:特権(Privilege)
例外動作の実装:権限(Authorization)
民間市場もターゲットにした商用セキュアOS
  Page3
韓国で開発された商用セキュアOS
情報保護の「思想」にあったセキュアOSを選ぼう
息抜きコラム:最終回「Type Enforcement(TE)」


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間