セキュアOS動向解説
想像以上?! お隣韓国のセキュアOS事情(前)
田口 裕也
日本高信頼システム株式会社
システム営業本部 営業支援部
マーケティング担当マネージャ
2007/2/19
なぜ韓国でセキュアOSは普及しているのか
IPAの報告書によると、もともと韓国でのセキュアOS市場は米国CA社の「eTrust Access Control」がシェアのほとんどを持っていました。しかし、韓国の政府や公共機関に対してセキュリティ製品を調達するには製品評価を受ける必要があり、条件の1つにソースコードの提出が義務づけられているのですが、CA社はこの条件を受け入れることを嫌がったために評価を受けることができませんでした。そのため納品することができなくなってしまったのです。
これによって外国産のセキュアOS製品が排除されることが多くなり、韓国で開発されたセキュアOSが台頭してきました。現在の韓国では政府機関や公共機関などのサーバセキュリティ対策にはセキュアOSを使用することが必須の項目として記載されているため、導入が急増しています。
2006年の時点で韓国のセキュアOS市場の売り上げは約213億ウォン以上(日本円で約27億円以上)の実績を残しました。2005年は約200億ウォンでしたので、順調にその売り上げの規模は拡大しており、今後は民間企業にも大規模に普及する見込みからその受注額はさらに増加すると思われます。 【参考4】
 |
表3 韓国内セキュアOSライセンス市場規模推移(2004〜2006) |
| 【参考4】 セキュアOSライセンス市場規模推移のグラフは以下のサイトから参照することができます。 韓国ソフトウェア振興院(KIPA)のセキュアOS市場動向資料 2006年6月時点 http://www.secureosforum.org/news/news_read.htm?id=256&start=0 |
韓国のセキュアOS普及活動の取り組み
韓国ではセキュアOSの普及を促進する取り組みが多く見られます。代表的な取り組みとしては韓国でセキュアOSに関連する企業を集めて構成された「セキュアOSフォーラム」が2002年に設立されています。
大きな試みとしては「セキュアOSフォーラムカンファレンス」が2002年に韓国のソウルで、2003年には中国の北京で開催されました。単なるセキュアOS製品の発表だけではなく、韓国国防省による招待講演や中国科学院による中国産セキュアOSの開発動向についての講演、韓国インターネット情報センター(KRNIC)のセキュアOS導入事例について、韓国HPによるセキュアOSのビジネスモデルについてなどとても興味深いセッションが数多くありました。詳細については公式サイトで確認することができます。
- セキュアOSフォーラム2002(2002年9月12日 韓国ソウル)
- セキュアOSフォーラム2003(2003年10月22日 中国北京)
さらに韓国で開発されたセキュアOSは国際標準規格Common Criteria(以後、CC)の認証を積極的に取得しています。
実際の評価業務はKISA(Korea Information Security Agency:韓国情報保護振興院)が行っており、KISAのWebサイトからCC取得に関する詳細な情報を確認することができます。【参考5】
| 【参考5】 KISAのCCを取得した製品に関するサイト http://www.kisa.or.kr/kisa/kisec/jsp/kisec_2012_list2.jsp |
取得したCCの評価は韓国内だけではなく、国際的な評価として扱えるようにするためにCCRA(Common Criteria Recognition Arrangement)へも加盟しました。【参考6】
| 【参考6】 CCRA参加国についてはIPAのサイトで確認できます。2006年8月の時点で12カ国が加盟しています。 http://www.ipa.go.jp/security/jisec/ccra_page.html |
これによって韓国内で開発されたセキュアOSはCC取得により世界へ輸出しても自動的にCCの評価はそのまま適用される相互認証が行われることが可能になり、韓国のセキュアOS企業は韓国内だけではなく積極的に海外進出も行えるようになりました。
つまり、韓国政府に導入するための調達基準をCCによって満たしていれば、相互認証のために他国の政府に導入するための調達基準も満たしている可能性があるのです。各セキュアOS企業の海外進出状況については後編で紹介する予定です。
さらにCCを取得する際に使用するプロテクションプロファイルも韓国で独自に作成しています。
SELinuxはRedHatEnterpriseLinux5でNSAが作成した「LSPP(Labeled Security Protection Profile)」を使用してEAL4+の取得を申請中ですが、韓国ではこのLSPPを参考にして独自のプロテクションプロファイルである「Label Based Access Control System Protection Profile for Government」を作成しました。【参考7】
| 【参考7】 実際のプロテクションプロファイルはITセキュリティ認証事務局のサイトから入手することができます。 Label Based Access Control System Protection Profile for Government V1.1 http://www.kecs.go.kr/servlet/download?dir=product& sys_nm=up_1153795163970832.pdf&file_nm=label_pp_v11.pdf |
また、TrustedSolarisが使用しているRBACPP(Role Based Access Control Protection Profile)も韓国のアレンジ版として、「Role Based Access Control System Protection Profile」を作成しています。
このように韓国では日本国内でセキュアOSが話題になるかなり前から情報セキュリティ対策の必要性を理解し、取り組みを始めていました。OSセキュリティに関しては韓国政府が費用を支援してETRI(韓国電子通信研究院)などで1990年代からセキュアOSの研究開発が進められており、海外で開発されたセキュリティ製品ばかりに依存しないような仕組みがつくられているのです。
後編では韓国で開発されたセキュアOSの機能概要とセキュアOS企業の海外進出について、さらにセキュアOS市場の問題点などを紹介します。
 |
2/2 |
後編へ |
| Index | |
| 想像以上?! お隣韓国のセキュアOS事情(前) | |
| Page1 世界はセキュアOSをどうとらえているのか 日本と韓国のセキュアOS動向 導入が進む韓国のセキュアOS 韓国のセキュアOS企業は「ホクホク」状態 |
|
 |
Page2 なぜ韓国でセキュアOSは普及しているのか 韓国のセキュアOS普及活動の取り組み |
| Profile |
| 田口 裕也(たぐち ゆうや) 日本高信頼システム株式会社 システム営業本部 営業支援部 マーケティング担当マネージャ CTCテクノロジー株式会社でサン・マイクロシステムズ社認定のSolarisインストラクターとしてUNIXの普及活動に従事。 その中で軍事機関で使用されているSolarisのセキュリティ機能強化版「Trusted Solaris」の存在を知り、2003年に日本高信頼システム株式会社へ入社。ソリューション部、研究部を経て営業支援部マーケティング担当になり、国内でのセキュアOS普及について模索しているところ。 監訳書に「SELinuxシステム管理」(オライリー・ジャパン)がある。 |
| 関連記事 | |
| 連載:SELinuxの最新動向 | |
| 連載:セキュアOS「LIDS」入門 | |
| SELinux Policy EditorでSELinuxを簡単に | |
| ITmedia エンタープライズ:SELinuxの現状:使いやすさの改善が進むSELinux | |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
