TOP比較データ> セキュアOSに望まれるソリューション




Linuxディストリビュータが紐解くセキュアOS
Linuxディストリビュータが紐解くセキュアOS

第1回:セキュアOSの動向

著者:Linuxコンソーシアム セキュリティ部会リーダー
才所 秀明
   2005/11/2
前のページ  1  2  3  4
セキュアOSに望まれるソリューション

   セキュアOSに望まれるソリューションとして最も大きいのは、当然のことながらセキュリティ設定に関するソリューションです。構築・監査・運用という3つの視点から、いくつか具体的にあげていきます。
セキュリティ設定の構築

   セキュリティ設定を行う方法としては、大きく分けて3種類の方法があります。これらは排他的なものではなく、組み合わせて行うことになります。

  • 設定者が設定項目ごとに手動で設定する
  • ベンダーなどが用意したテンプレート(デフォルトポリシー)を利用する
  • 設定したシステムを動作させ、拒否されたログを元に再度設定する

表2:セキュリティの設定方法

   これらの設定を行うために、以下のソリューションが望まれています。

  • 多彩なバリエーションを持つ設定テンプレート(デフォルトポリシー)
  • 設定方法、設定ツールの教育サービス
  • わかりやすい設定および設定補助ツール
  • 設定および設定コンサルテーションサービス

表3:設定の構築で必要とするソリューション


セキュリティ設定の監査

   セキュリティ設定は非常に重要ですから、きちんと設定が行われているかどうかをチェックする「監査」が必要とされてくるでしょう。

   基本的にセキュリティ設定を見ればよいのですが、SELinuxなどではすべての設定を見ることは不可能に近いのです。比較的わかりやすいセキュアOSですと、セキュリティに関する知識のある方はわかるかもしれませんが、それでも一般のシステム管理者がわかるレベルでないことが多いです。

   したがってセキュリティ設定を専門家でなくても理解できるレポートしたり、実際に設定を監査行う、以下のようなソリューションが望まれます。


  • 設定のレポーティングツール
  • 設定監査サービス

表4:設定の監査で必要とするソリューション


セキュリティ設定およびログの運用

   セキュリティ設定は、アプライアンスサーバのようなものでもない限り、システム変更にともなって設定が変わっていきますので、セキュリティ設定の構築で紹介したようなソリューションも望まれます。さらに一般的なシステム運用と同じで、セキュリティ設定の遠隔管理や集中管理ができる必要もあるでしょう。

   セキュアOSは非常に詳細な権限設定を行うために、詳細かつ多数のアクセス拒否ログがでてくることになります。またセキュアOSによってはその仕組みを利用して、詳細なログを取ることを機能としているものもあります。

   多くの詳しいログが取れることはセキュリティを考える上では有用なのですが、知りたいログがほかのログに埋もれてしまっては意味がありません。よってこれらのログを分析し、わかりやすくレポートしてくれる機能が必要とされます。

   まとめると以下のソリューションが望まれます。

  • 設定の遠隔管理、集中管理ツール
  • ログのレポーティングツール
  • 設定管理サービスおよびログの管理サービス

表5:設定の監査で必要とするソリューション


セキュアOSの情報の現状

   商用セキュアOSの場合は、ベンダーや販社、それに近い企業がシステム構築を行うといったケースがほとんどです。したがって、導入事例情報もこれらの企業に蓄積されています。

   また、セキュリティ設定やコンサルテーションサービスが提供されていますし、教育サービスも行われていることが多いです。それ以外のソリューションについても、機能やサービスとして提供されていることもあります。

   一方、商用ディストリビュータが標準サポートしてくるセキュアOSは、一部で使われはじめていますが、まだまだ導入事例は少ないです。また商用セキュアOSのように、ベンダー側に情報が集中するとは考え難いです。

   さらにセキュリティ設定に関しては、ディストリビュータから提供される情報やサポートが不可欠です。しかし、「セキュアOS」というキーワードの認知度が低かったこともあり、一般的な解説は行われるものの、「どのようなソリューション、サポートを提供しているのか?」といった情報が詳しく言及される場面は少なかったかと思います。必ずしも「ディストリビュータがすべてのソリューションを用意すべき」ではないと思いますが、「どのレベルまで提供するのか?」という情報は非常に重要でしょう。


セキュリティ部会の取り組み

   「個人情報保護法から見るセキュアOSの必要性」でも紹介した通り、セキュリティ部会ではセキュアOSの普及促進を目指し活動を行っており、本年度の活動を簡単に紹介します。

   まずは昨年度の成果である「セキュアOS評価項目Ver1.0」のバージョンアップです。昨年度の成果を踏まえ、新規メンバーを中心とした新たな視点による評価項目追加や理解のしやすさの向上を目的としています。

   もう1つは「特定アプリケーションのセキュリティ設定」です。先ほど紹介した以下の情報を提供するために、よく使われるサーバアプリケーションを実際に設定して動作させ、評価するという試みです。

  1. 現在利用しているアプリケーションの動作実績を知りたい
  2. システム構築の際に参考となる情報が欲しい

表2:セキュリティの設定方法(再掲)
前のページ  1  2  3  4


Linuxコンソーシアム セキュリティ部会リーダー 才所 秀明
著者プロフィール
Linuxコンソーシアム セキュリティ部会リーダー  才所 秀明
日立ソフトエンジニアリング(株) 技術開発本部研究部にて、セキュリティ関連研究に従事。現在セキュアOS「SELinux」の調査研究を担当。セキュアOS「SELinux」の普及推進を目指し、講演、執筆、WG活動などにおいて活動中。
日本オープンソース推進機構 SELinux専門委員会メンバー
Linuxコンソーシアム理事兼セキュリティ部会リーダー


INDEX
第1回:セキュアOSの動向
  はじめに
  商用ディストリビュータのセキュアOSサポート
  導入利用までの問題点
セキュアOSに望まれるソリューション