TOP比較データ> はじめに




Linuxディストリビュータが紐解くセキュアOS
Linuxディストリビュータが紐解くセキュアOS

第2回:Red Hat Enterprise Linuxセキュリティの概要と特徴

著者:レッドハット  藤田 稜   2005/11/29
1   2  3  4  次のページ
はじめに

   Red Hatが提供する最新のLinuxのディストリビューションのRed Hat Enterprise Linux(RHEL)4は、Red Hat Linuxと合わせて世界最大のシェアを持つ、いわばLinuxのデファクトスタンダードともいえる製品です。

   RHEL4の開発目標は、安定性/パフォーマンス/拡張性/セキュリティなどといったエンタープライズの分野において重視される項目に重点をおいていますが、安定性とともに特に重視しているものはセキュリティです。問題の予防・対応、影響の最小化といった観点から、OS単体だけではなく、Red Hatが提供するレイヤード製品やサポート体制と連携することで、強固な情報基盤を築いています。

   今回解説するRHELのセキュリティはについて、2005年11月9日に開催されたLinuxコンソーシアムでのパネルディスカッションの内容も含めて紹介します。


SELinux

   RHEL4におけるセキュリティを説明する際の最大のテーマの1つはSELinux(Security-Enhanced Linux)です。

   軍用調達のためのコンピュータ製品評価基準として、NSA(米国国家安全保障局)により定義されたTrusted Computer System Evaluation Criteria(TCSEC)という規約があります。この中に定められたTrusted OSの機能要件のうち、「強制アクセス制御」「最小特権の原則」という2点に焦点を絞って実装されたものをセキュアOSと呼びます。SELinuxはセキュアOSの要件を満たすもので、NSAとSecure Computing社によって10年以上に渡って研究され、NSAの主導のもとにRed Hatも協力して設計・実装しています。


任意アクセス制御

   話をわかりやすくするために「セキュアでないOS」のアクセス制御がどのようになっているのかを簡単に解説します。

   「セキュアでないOS」では、DAC(Discretionary Access Control:任意アクセス制御)という制御方法が使われています。「任意アクセス制御」と書くと何か難しく感じられますが、要するに「誰がこのファイルを読み、書き、実行できるか」を決めて、その決まりにしたがってOSを含めたプログラムが制御されるということです。

   この方法はすでに何十年も使われてきた制御方法で、rootアカウント(特権ユーザ)がシステム全体を「任意に」設定することが可能です。

   コンピュータがセキュリティの問題と無縁だった頃には、この方法でも十分にシステムの安全性は確保されていました。しかし、コンピュータがネットワークに接続されるようになると、便利になった反面、悪意を持ったプログラムやユーザ、個人情報の漏洩といった問題に直面することになり、DACではセキュリティを確保しきれない状況が発生してきました。

   rootアカウントになってしまえば「任意に」OSやアプリケーション、データの設定を変更できるため、プログラムの脆弱性を突けば不正にrootアカウントになれるため、このような攻撃方法を防ぐ必要がでてきたのです。

任意アクセス制御の設定
図1:任意アクセス制御の設定

1   2  3  4  次のページ


レッドハット株式会社 藤田 稜
著者プロフィール
レッドハット株式会社  藤田 稜
レッドハット株式会社 プリセールスエンジニア
ホスト・オフコンのSIer、WebのSIerを経て様々なOSに触れた結果、これからはLinuxだという確信を持ち2005年4月より現職。レッドハットのOEMパートナーやエンドユーザからの導入検討段階での技術的問題の解決、セミナーなどにおけるRed Hat Enterprise Linuxの技術的情報の広報に従事。


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第2回:Red Hat Enterprise Linuxセキュリティの概要と特徴
はじめに
  強制アクセス制御
  PIE
  SELinuxのサポート
Linuxディストリビュータが紐解くセキュアOS
第1回 セキュアOSの動向
第2回 Red Hat Enterprise Linuxセキュリティの概要と特徴
第3回 MIRACLE LINUXのセキュリティへの取り組み
第4回 Turbolinuxのセキュリティに対する取り組み
個人情報保護法から見るセキュアOSの必要性
第1回 個人情報保護法とセキュリティ対策
第2回 セキュアOSとは
第3回 セキュアOS紹介(1)〜 MIRACLE HiZARDとLIDS
第4回 セキュアOS紹介(2)〜 Trusted SolarisとPitBull
第5回 セキュアOS紹介(3)〜 SELinux