 |
|
| 個人情報保護法から見るセキュアOSの必要性
|
第4回:セキュアOS紹介(2)
〜 Trusted SolarisとPitBull
著者:日本高信頼システム 田口 裕也 2005/3/16
|
|
|
| 前のページ 1 2 3 4
|
|
| PitBull
|
PitBullはアメリカのアーガス社(http://www.argus-systems.com/)が開発しています。いくつかのPitBullシリーズがラインナップされており、Trusted OSだけではなく、セキュアOSも開発しています。
Trusted Solarisと大きく異なるのは、通常のOSを使用している既存環境に上書きインストールして、Trusted OS化、セキュアOS化を実現できる点です。OpenHackというアメリカで開催されたハッキングコンテストで、540万アタックという途方もない数の攻撃をPitBullのセキュリティ機能のみで全開催期間(17日間)防御した実績もあります。
では、それぞれの機能的な特徴を紹介します。
|
| PitBull Foundation Suite
|
PitBull Foundation SuiteはMLS機能を実装したTrusted OSです。既存の環境にPitBullのカーネルを上書きすることによってTrusted OS化できます。
強制アクセス制御方式はMLSなのですが、Trusted SolarisのMLSとは多少異なる動作をします。それは、下位の機密レベルを持つプロセスから上位の機密レベルを持つファイルへの追記が禁止されていることです。これは情報の完全性を追求しているためです。
その他に、特権と権限という機能があり、MLSの機能を補完して、さらに強靭な強制アクセス制御機能を実現しています。
現在はSolaris 8、AIXに対応していますが、Trusted OSは主にUNIX向けに開発されているため、現在のところLinux向けにはまだ開発されていません。
|
|
参考:MLS機能を実装しているセキュアOSにはSecuveTOSがあります(http://www.tnes.co.jp/products/tos.html)。
|
|
| PitBull LX
|
PitBull LXは、ドメインというセキュリティ属性をプロセスとファイルに付与して、強制アクセス制御を実装するセキュアOSです。ドメインが同一であれば、指定されているアクセス権のみ許可されます(図3)。
|
図3:Domain-Based Access Controlを使用した強制アクセス制御
(画像をクリックすると別ウィンドウに拡大図を表示します)
|
ユーザに割り当てるシステム管理権限などもすべてドメインによってコントロールすることから、DBAC(Domain-Based Access Control)機能と呼ばれています。また、PitBull LXは一部の機能(WebやDNS)だけにセキュアOS機能を使用するといった、通常のOSとセキュアOSを共存させて適用することができます。
Solaris 8、AIX、Linuxに対応していますが、現在のところLinux Kernel 2.4のみで、Linux Kernel 2.6にはまだ対応していません。より技術的な詳細については教育サービス(http://www.jtsl.co.jp/training)も提供されていますので参考にしてください。
|
| まとめ
|
今回ご紹介しましたTrusted SolarisとPitBullは、商用として提供されているため、製品そのものに費用が発生しますし、設定もかなり複雑です。一般の企業に導入するにはオーバースペックかもしれません。しかし、政府や軍事機関、金融、医療、研究所などの、より高度なセキュリティを求められる場所への導入実績の多さは大きな信頼になるのではないでしょうか。
セキュアOSとTrusted OSは、どちらも同じようなアクセス制御機能を搭載していますが、適用場所で使い分けることにより、住み分けができると思います。
|
前のページ 1 2 3 4
|
|
|
|
|
著者プロフィール
日本高信頼システム株式会社 田口 裕也
CTCテクノロジー株式会社にてサン・マイクロシステムズ社認定Solarisインストラクターとして、Solarisの技術教育を担当、またLinuxの技術教育コース開発、立ち上げにも関わる。2003年 日本高信頼システム株式会社に入社し、教育事業マネージャーとして、SELinuxやPitBull、Trusted SolarisなどのセキュアOS、Trusted OSを扱えるエンジニア育成を中心にスクール講義、コース開発を担当。またLinux月刊誌への連載執筆その他多数の寄稿がある。また、NPOへ参加し、大学などで講演も行う。監訳書で「SELinuxシステム管理」(オライリージャパン)がある。
Linuxコンソーシアム セキュリティ部会 メンバー
NPO日本オープンソース推進機構(JOSAO) SELinux専門委員会メンバー
|
|
|
|
|
|
