PR

OSSのセキュリティや開発ツール、実行基盤などの最前線の最新情報・動向が得られる ―「DevConf.cz 2020」レポート

2020年3月25日(水)
中村 雄一

新たなOSセキュリティ技術:
「Application Whitelisting in Linux Environment」

講演者であるRed HatのRadovan Sroka氏が開発した新しいセキュリティ機構を紹介した。アイデアは単純であり、ホワイトリストに登録したアプリしか起動できないようにするというもの。

ホワイトリストは/etc/fapolicyd/に設定し、プログラムの実行時にLinuxカーネルのfanotifyという仕掛けで捕まえて、fapolicydデーモンでホワイトリストをチェックしブロックする。

fanotifyを通じてホワイトリストをチェック

個々のバイナリ実行ファイルだけでなく、Pythonスクリプトも制限できる。Pythonはカーネルからは一見、pythonの実行ファイルが実行されているように見えてしまうが、ちゃんとスクリプト単位で制御できるようになっていることがデモで示された。

この機構は、Fedoraでインストールし使えるようになっているとのことで、将来はRHELに入ってくるかもしれない。Devconf.czではこのような開発途上の技術も多く発表されており、OSS開発の熱気を感じられた。

続いて、認可認証のOSSとして近年注目を集めているKeycloakに関するセッションを2つ紹介する。

Keycloakと他OSSの連携:
「Foreman Single Sign-On Made Easy with Keycloak」

講演者は、Red HatのNikhil Kathole氏。ForemanはRed Hat Satelliteのベースとなる、システム管理・モニタリングツールである。

これまで、Foremanは認証としてLDAPやKerberosログインをサポートしていたが、講演者が中心となってKeycloakでも認証できるようにした。Keycloakに認証(認証画面を出すことも含め)を全て任せることで、認証がシンプルかつセキュアになるという。

Keycloakを利用するメリット

つまり、Foremanでパスワードなどの情報を扱う必要がなくなり、認証のセキュリティはKeycloakを気にすれば良くなる。また、Keycloakとの連携設定もForemanのコンソールから簡単に行なえる。

他のセッションでも、Red Hatのソフトウェアの認証部分がKeycloakに対応していることが分かり(Quarkusやstrimzi)、Keycloakの適用は広がっているようである。

唯一の日本からの講演:
「WebAuthn and Multi-factor Authentication Support in Keycloak」

本セッションでは、筆者の同僚である日立製作所の乗松隆志氏が、Keycloakの「WebAuthn」という多要素認証やパスワードレス認証への標準対応について紹介した。

近年、パスワードに頼った認証がリスト型攻撃などで突破され問題になっており、多要素認証の必要性が高まっている。これに対し、W3Cが定めたWebAuthnという標準により、スマートフォンやPCの指紋認証機や認証デバイスによる多要素認証を実現できるようになる。クライアント側は、主要なブラウザで対応が進んでいるが、認証サーバ側も対応が必要である。今回は、KeycloakのWebAuthn対応にあたり、日本のコミュニティが中心となって開発が進められたことが語られた。また、WebAuthnライブラリとして能島良和氏が開発した「webauthn4j」を採用し、Keycloak向けの認証モジュールを乗松氏が中心となって開発を進めたことも明かされた。

KeycloakのWebAuthn対応にあたる日本コミュニティの貢献

その結果、Keycloak 8.0.0にWebAuthnの認証サーバの機能が取り込まれている。

セッションの後半では、Red HatのPeter Skopek氏によるKeycloak 8.0.0での二要素認証とパスワードレス認証双方のデモが行われた。認証デバイスとしてUSBのセキュリティキーを利用したデモのほか、Keycloakの管理コンソールでいくつか操作するだけで簡単に設定できるようになったことも示された。管理コンソール側もRed Hatだけでなく、CloudTrust社やコミュニティの協力により開発されたことが語られた。

DevConf.czは、Red Hatが主催ということもあり、講演者もRed Hatが大半であるが、本セッションのように外部の人間でもコミュニティベースで問題なく入っていけることを実感できた。今回は、日本人の講演者は乗松氏のみだったが、日本からもさらに入っていきたいものである。

広がるDevConfコミュニティ

本稿ではセキュリティ関連のみしか取り上げなかったが、他にも開発ツールや実行基盤(Quarkus等)に関する様々なセッションがあった。また講演者の多くが何らかのOSSのプロジェクトのメンテナであり、非常に技術的に濃いイベントだった。参加者も年々増えている人気イベントであるためか、近年はチェコ開催のDevconf.cz以外にもインドとアメリカでDevconf.inとDevconf.usという類似のイベントが開催されている。

なお、DevConfの講演の多くはYoutubeのdevconfチャンネルにアップされるようだ。DevConfは日本ではあまり知られていないイベントであるが、Red Hatの最新OSSの動向を知るには非常に良いイベントと思われる。ぜひ、皆さんも動向をウォッチしてみてはいかがだろうか。

株式会社 日立製作所

OSSに関する技術開発・コミュニティ活動を長年行っている。 現在はOSSソリューションセンタに所属し、OSSを活用したAPI管理や認証ソリューション開発に従事。

コミュニティ活動として、OSSセキュリティ技術の会にて、SELinuxやKeycloak等のOSSセキュリティ技術の普及活動を行っている。博士(工学)。

連載バックナンバー

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています