TOP情報セキュリティ> なぜSELinuxを導入している事例をあまり聞かないのか?
SELinuxのキホン
SELinuxのキホン

なぜSELinuxが求められたのか?
著者:日本高信頼システム  田口 裕也   2007/6/28
前のページ  1  2  3
なぜSELinuxを導入している事例をあまり聞かないのか?

   そうはいっても、筆者が実際に業務でセキュアOSを導入する現場を担当してもSELinuxは無効になっている場合が多いのです。SELinuxがtargetedポリシーで特定のアプリケーションのみを保護して動作していることもありますが、手動でSELinuxを無効にして、別の商用セキュアOSに入れ替えることもありました。

   しかし、商用セキュアOSを追加で購入しなくても最初から付属しているSELinuxで十分に要求されているセキュリティ機能を実現できるなと思うことが多いのも事実です。

   この原因として、「もう少し開発状況が安定しないと怖い」というイメージがついていることを感じています。また、営業担当者がSELinuxやセキュアOSのメリットを理解できるような資料が少ないために提案できないことも上げられます。さらに、サポート体制の課題もあるでしょう。

   そのような背景から、実際にセキュアOSを導入することに積極的なのは、一般的な民間企業よりも政府機関や金融機関といった高度なセキュリティ対策に敏感な場所が多いのです。そのため、導入場所によっては24時間365日のサポート体制を要求されることも多くあります。

   サポート体制が貧弱な状態では、万が一のトラブルが発生したときの責任を考えるとちょっと提案することができないでしょう。また、価格面が高くなっても導入実績やサポート体制、サポートノウハウが多く蓄積されている商用セキュアOSに頼ってしまうのが現状です。

   もちろん、商用セキュアOSを採用する決め手として、SELinuxにはないセキュリティ機能以外のメリットもあります。例えば、SELinuxはLinuxでのみでしか実装することができませんので、WindowsやSolarisなどの混在環境を同じセキュアOSを使用して統一したいというような要望には応えることができません。また、複数台のサーバに導入したセキュアOSを一括管理できる管理マネージャのような機能も用意されていません。
SELinuxの最大の特徴は?

   SELinuxが他のLinux対応のセキュアOSと比べて突出する特徴をあげてみると、やはり「CC認証」という第3者からの認定を受けていることです。ラベルを使用した強制アクセス制御は、米国では30年近い歴史と実績から情報を保護できる信頼の高いイメージがあります。パスベースで強制アクセス制御を実現しているTOMOYOLinuxやAppArmor、LIDSではLSPPでCC認証を受けることはできないのです。

   つまり、どのセキュアOSが良い、悪いのではなく適用場所によって使い分けることが重要だろうと感じています。
最後に

   今回はSELinuxの特徴や課題など最低限押さえてほしいポイントだけを解説しました。実際にSELinuxを使いこなすには、覚えることはもっとたくさんあります。例えばSELinuxの動作モードであるenforcingモード、permissiveモード、セキュリティポリシーの種類であるtargetdeポリシー、strictポリシー、新しく採用されたReferenceポリシー、MLSとMCS、ポリシーファイルの記述形式、SELinuxの操作コマンド、出力されるログ形式など、量が多いためとてもすべてを解説することができません。

   詳細な機能やオペレーション方法などについては、書籍や企業が有償で開催しているトレーニングコースが提供されていますので、参考にするとよいでしょう(表1)。

参考情報
表1:参考情報
(画像をクリックすると別ウィンドウに拡大図を表示します)

   いくらすばらしい技術でも、誰も使いこなせないのであれば意味がありません。たくさん種類のあるセキュアOSは、それぞれ適材適所で使われることによって、その真価を発揮します。気になるセキュアOSの最新動向やSELinuxに関する質問などは、気軽にSELinuxユーザ会のMLで確認し、ぜひセキュアOSについて知識を深めてください。

SELinuxユーザー会
 http://www.selinux.gr.jp/

前のページ  1  2  3

日本高信頼システム株式会社 田口 裕也
 著者プロフィール
日本高信頼システム株式会社  田口 裕也
CTCテクノロジー株式会社でサン・マイクロシステムズ社認定のSolarisインストラクターとしてUNIXの普及活動に従事。その中で軍事機関で使用されている「Trusted Solaris」の存在を知り、2003年に日本高信頼システム株式会社へ入社。ソリューション部、研究部を経て営業支援部になり、国内でのセキュアOS普及について模索しているところ。
監訳書に「SELinuxシステム管理」(オライリー・ジャパン)がある。
INDEX
なぜSELinuxが求められたのか?
  サーバOSはセキュアOS化している!
  なぜLinuxにSELinuxを追加する必要があるのか?
なぜSELinuxを導入している事例をあまり聞かないのか?