セキュリティ
イベント
連載 :
  イベント・セミナー2020

OSSのセキュリティや開発ツール、実行基盤などの最前線の最新情報・動向が得られる ―「DevConf.cz 2020」レポート

2020年3月25日(水)
中村 雄一
このエントリーをはてなブックマークに追加

新たなOSセキュリティ技術:
「Application Whitelisting in Linux Environment」

講演者であるRed HatのRadovan Sroka氏が開発した新しいセキュリティ機構を紹介した。アイデアは単純であり、ホワイトリストに登録したアプリしか起動できないようにするというもの。

ホワイトリストは/etc/fapolicyd/に設定し、プログラムの実行時にLinuxカーネルのfanotifyという仕掛けで捕まえて、fapolicydデーモンでホワイトリストをチェックしブロックする。

fanotifyを通じてホワイトリストをチェック

個々のバイナリ実行ファイルだけでなく、Pythonスクリプトも制限できる。Pythonはカーネルからは一見、pythonの実行ファイルが実行されているように見えてしまうが、ちゃんとスクリプト単位で制御できるようになっていることがデモで示された。

この機構は、Fedoraでインストールし使えるようになっているとのことで、将来はRHELに入ってくるかもしれない。Devconf.czではこのような開発途上の技術も多く発表されており、OSS開発の熱気を感じられた。

続いて、認可認証のOSSとして近年注目を集めているKeycloakに関するセッションを2つ紹介する。

Keycloakと他OSSの連携:
「Foreman Single Sign-On Made Easy with Keycloak」

講演者は、Red HatのNikhil Kathole氏。ForemanはRed Hat Satelliteのベースとなる、システム管理・モニタリングツールである。

これまで、Foremanは認証としてLDAPやKerberosログインをサポートしていたが、講演者が中心となってKeycloakでも認証できるようにした。Keycloakに認証(認証画面を出すことも含め)を全て任せることで、認証がシンプルかつセキュアになるという。

Keycloakを利用するメリット

つまり、Foremanでパスワードなどの情報を扱う必要がなくなり、認証のセキュリティはKeycloakを気にすれば良くなる。また、Keycloakとの連携設定もForemanのコンソールから簡単に行なえる。

他のセッションでも、Red Hatのソフトウェアの認証部分がKeycloakに対応していることが分かり(Quarkusやstrimzi)、Keycloakの適用は広がっているようである。

唯一の日本からの講演:
「WebAuthn and Multi-factor Authentication Support in Keycloak」

本セッションでは、筆者の同僚である日立製作所の乗松隆志氏が、Keycloakの「WebAuthn」という多要素認証やパスワードレス認証への標準対応について紹介した。

近年、パスワードに頼った認証がリスト型攻撃などで突破され問題になっており、多要素認証の必要性が高まっている。これに対し、W3Cが定めたWebAuthnという標準により、スマートフォンやPCの指紋認証機や認証デバイスによる多要素認証を実現できるようになる。クライアント側は、主要なブラウザで対応が進んでいるが、認証サーバ側も対応が必要である。今回は、KeycloakのWebAuthn対応にあたり、日本のコミュニティが中心となって開発が進められたことが語られた。また、WebAuthnライブラリとして能島良和氏が開発した「webauthn4j」を採用し、Keycloak向けの認証モジュールを乗松氏が中心となって開発を進めたことも明かされた。

KeycloakのWebAuthn対応にあたる日本コミュニティの貢献

その結果、Keycloak 8.0.0にWebAuthnの認証サーバの機能が取り込まれている。

セッションの後半では、Red HatのPeter Skopek氏によるKeycloak 8.0.0での二要素認証とパスワードレス認証双方のデモが行われた。認証デバイスとしてUSBのセキュリティキーを利用したデモのほか、Keycloakの管理コンソールでいくつか操作するだけで簡単に設定できるようになったことも示された。管理コンソール側もRed Hatだけでなく、CloudTrust社やコミュニティの協力により開発されたことが語られた。

DevConf.czは、Red Hatが主催ということもあり、講演者もRed Hatが大半であるが、本セッションのように外部の人間でもコミュニティベースで問題なく入っていけることを実感できた。今回は、日本人の講演者は乗松氏のみだったが、日本からもさらに入っていきたいものである。

広がるDevConfコミュニティ

本稿ではセキュリティ関連のみしか取り上げなかったが、他にも開発ツールや実行基盤(Quarkus等)に関する様々なセッションがあった。また講演者の多くが何らかのOSSのプロジェクトのメンテナであり、非常に技術的に濃いイベントだった。参加者も年々増えている人気イベントであるためか、近年はチェコ開催のDevconf.cz以外にもインドとアメリカでDevconf.inとDevconf.usという類似のイベントが開催されている。

なお、DevConfの講演の多くはYoutubeのdevconfチャンネルにアップされるようだ。DevConfは日本ではあまり知られていないイベントであるが、Red Hatの最新OSSの動向を知るには非常に良いイベントと思われる。ぜひ、皆さんも動向をウォッチしてみてはいかがだろうか。

このエントリーをはてなブックマークに追加
DevConf.cz / Red Hat / keycloak / SELinux / WebAuthn / Kubernetes
著者
中村 雄一
株式会社 日立製作所

SELinuxから始まりOSSコミュニティ活動を長年行っている。近年は、OSSソリューションセンタにおいて、Keycloakのアップストリーム活動と関連ビジネスを立上げるなど、OSS戦略を推進中。また、The Linux Foundationのボードとして、日本国内のOSSコントリビューションの盛り上げに挑戦中。

Cloud Native Community Japanの設立発起人、OSSセキュリティ技術の会会長。博士(工学)。

連載バックナンバー

システム開発イベント

OpenShift Commons Gatheringで語られたOpenShiftに最適なCI/CDとは

2021/3/2
レッドハット株式会社のクラウドソリューションアーキテクト、北山晋吾氏によるCI/CDのセッションを紹介。
続きを読む
働き方イベント

オンラインならではの工夫でリアル開催を凌ぐ盛り上がりに! 「3年後の未来を描け! 悩み爆発 クリエイター1000人祭り」レポート

2021/2/9
2020年12月にオンラインで開催された「3年後の未来を描け!悩み爆発クリエイター1000人祭り」を紹介します。
続きを読む
ITインフライベント

ビルドからリリースまでを抽象化するWaypointにディープダイブ

2021/2/4
HashiCorpがリリースしたWaypointの内部構造など詳細について解説されたセッションを紹介する。
続きを読む

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています

全文検索エンジンによるおすすめ記事

Topへ戻る
Copyright © 2004-2024 Impress Corporation. An Impress Group Company. All rights reserved.