TOP比較データ> MIRACLE LINUX V4.0のセキュリティ強化
Linuxディストリビュータが紐解くセキュアOS
Linuxディストリビュータが紐解くセキュアOS

第3回:MIRACLE LINUXのセキュリティへの取り組み

著者:ミラクル・リナックス  石井 友貴   2005/12/9
1   2  3  次のページ
MIRACLE LINUX V4.0のセキュリティ強化

   ミラクルリナックスは2005年11月7日より、新しいLinuxディストリビューションである「MIRACLE LINUX V4.0 - Asianux Inside」の出荷を開始しました。

   本製品では、近年採用が増えている基幹サーバとしてのLinuxの運用に耐えうる可用性や信頼性を得られるよう重点的に強化しています。

   具体的には、CGL(Carrier Grade Linux)2.0.2 Priority 1に対応する機能を搭載し、テレコム市場などで求められる高度な要件を満たすとともに、Stratus ftServerをはじめとするフォールト・トレラント・サーバでの動作に対応しており、システムのファイブナイン(99.999%)の高可用性を追求しています。

   さらに、障害が発生した際の問題解決にはカーネルダンプの取得が必要になりますが、このための機能として「diskdump」および「netdump」をカーネルに実装しています。

   diskdumpは対応デバイスが限定されるため、すべてのデバイスからダンプが取得できるわけではありませんでしたが、V4.0では対応デバイスを大きく増加させています。仮にdiskdumpに対応しない特殊なディスクドライブを使用している環境でも、USBストレージへのダンプが可能なので、ほとんどのサーバでダンプが取得できるようになっています。

   さて、基幹サーバとしての利用を前提にすると、セキュリティ機能についても考慮が必要です。MIRACLE LINUX V4.0では、ACL、Exec-Shield、暗号化ファイルシステムなど標準的なセキュリティ関連機能が搭載されていることに加えて、ファイルサーバとして広く利用されているSambaに対して、監査機能やパスワード複雑度の検証機能などの独自拡張を施しており、セキュアなサーバ環境構築を支援しています。

   またセキュアOSとしては、標準でSELinuxを搭載するとともに、商用セキュアOSであるMIRACLE HiZARDの販売も行っています。

   もともとミラクルリナックスでは、Linuxディストリビューションと並行して2003年より「MIRACLE HiZARD」を提供してきました。これは(Linuxに限りませんが)従来のOSには原理上、特権ユーザの存在というセキュリティの問題点が存在し、これを解決するためにはセキュアOSを導入するのが最適であるとディストリビュータとして判断したためです。


MIRACLE HiZARDの導入事例

   MIRACLE HiZARDの概要については、「個人情報保護法から見るセキュアOSの必要性の第3回:セキュアOS紹介(1)〜 MIRACLE HiZARDとLIDS」で紹介していますので、そちらを参照してください。

   簡単に説明しますと、MIRACLE HiZARDではRBAC(Role-Based Access Control)という方式を使用して、セキュアOSの要件である「強制アクセス制御」と「最小特権」を実現します。これによって、セキュアOSのコンセプトである「特権ユーザ(root)の権限の制限/分割」を行い、OSのセキュリティ強度を高めることが可能です。

   セキュアOSの認知度の向上とともに、MIRACLE HiZARDの導入実績も官公庁や金融系を中心に増えており、最近では大学やeコマース系の企業での採用もはじまっています。

   実際のシステムでセキュアOSの導入対象としてあげられることが多いのは、Edge系サーバと基幹系サーバです。Edge系サーバにはLinuxの導入実績も多いWebサーバやメールサーバなどの外部公開サーバが含まれます。これらのサーバにセキュアOSを導入した場合、外部からの攻撃への耐性を持つ「要塞化サーバ」を構築するという色合いが強くなります。

   一方で基幹系サーバに導入する場合は、データベースやファイルサーバなどに配置されている機密情報を不正操作から保護して、情報漏洩対策を行うというものです。

   MIRACLE HiZARDの場合、Oracleデータベースなどの機密情報を保持したデータストアを保護する目的で導入を行うユーザが多数を占めています。特に個人情報保護法の施行以降、システムのバックエンドで管理されている顧客情報や人事情報、会計情報といったセンシティブな情報を保持するサーバに対して、内部情報漏洩を含めたセキュリティ対策として利用するユーザが増えています。

   またデータベース・サーバの特徴として、カットオーバー後にシステム機能に大幅な変更が発生することが比較的少ないという点があります。これゆえに、セキュアOSの観点から見ると、セキュリティポリシーを一度構築してしまえば、それ以降のメンテナンス作業があまり発生しないため、運用管理上の手離れがよいという利点があります。

   では、実際にデータベース・サーバにセキュアOSを導入することによって、どのような効果が得られるかを過去の事例から紹介します。

1   2  3  次のページ


ミラクル・リナックス株式会社 石井 友貴
著者プロフィール
ミラクル・リナックス株式会社  石井 友貴
外資系ソフトウェアベンダーにてデータベースやセキュリティ関連の研修カリキュラム開発などを担当した後、2004年よりミラクル・リナックス社に在籍。MIRACLE HiZARDをはじめとするセキュリティ製品のプロダクト・マネジメントを担当。日本でのセキュアOSの普及を目指し日々奮闘中。Linuxコンソーシアム セキュリティ部会メンバー。


INDEX
第3回:MIRACLE LINUXのセキュリティへの取り組み
MIRACLE LINUX V4.0のセキュリティ強化
  MIRACLE HiZARDによるデータベース・サーバのセキュリティ強化
  まとめ