インプレス ビジネスメディア
個人情報保護法から見るセキュアOSの必要性 2

LKM(Loadable Kernel Module)方式

LKM(Loadable Kernel Module)方式

LKMを簡単に説明すると、OSのカーネルに新しいモジュールを後付けで組み込むことを実現するものです。

LKM方式では、下の図4に示すように、システムコールで呼ばれる関数Aに対応する関数A'を実装します。そして、(2)のプロセスが呼び出すシステムコールをフックし、関数Aへの呼び出しがあった場合、関数A'が呼び出されるようにします。関数A'には、セキュリティチェックと、関数Aを呼び出す 処理が実装されていて、セキュリティチェックが通れば、従来どおりの処理(関数A)が行われるようになっています。

関数A'は関数Aと同じインターフェイスで実装されます。また、実際の処理自体は元の関数のものを利用します。そのため、従来のOSとの互換性は保たれます。

LKM方式
図4:LKM方式

Linux以外のOSでの強制アクセス制御

ここまではLinuxを例に説明してきましたが、UNIXでもLSM方式を除いてほぼ同じ です。一方Windowsにおいては、カーネルパッチ方式やLSM方式は利用できませんが、Windows APIをフックすることが可能です。そこで、Windows用のセキュアOSでは、LKM方式に似たような方法で、セキュリティチェックを入れ込む方法が とられています。

実装方式の選択について

このように、強制アクセス制御にはいくつかの実装方式がありますが、どの方式でも従来の OSとの互換性が保たれています。したがって、従来のOS上で動作していたアプリケーションは基本的に動作するはずです。また、これらの実装方式は、適用 できるOSや環境が異なり、それぞれ長所や短所があります。システムのOS環境や必要なセキュリティに応じて、導入するセキュアOS製品を選択することが 重要です。

最小特権は?

「最小特権」については、製品ごとに違いが大きいため一概に紹介できません。 TE(Type Enforcement)モデルや、RBAC(Role Based Access Control)モデルなど、さまざまなセキュリティモデルをベースとして、さまざまな形で実装されています。また、これに伴いアクセス制御設定の方法や 考え方も異なります。詳細については、次回以降のセキュアOS製品紹介を参考にしていただきたいと思います。

ただ、セキュアOSではシステムコールレベルのアクセス制御を行っているため、従来のOSに比べて詳細な権限設定が可能になっています。

たとえば、Linuxのパーミッションチェックでは、ファイルに対して設定できるアクセス権限は、read(読み込み)、write(書き込み)、 execute(実行)の3つのみでした。しかしセキュアOSでは、append(追記)などの様々な権限を設定できるようになっています。たとえばログ を出力するサーバアプリケーションにappendのみの権限を与えれば、サーバアプリケーションが乗っ取られても追記しかできないため、ログの改ざんや消 去を防ぐことができます。

セキュアOSの効果

かなり技術的な話が続きましたが、ここからはセキュアOSの効果などの話に移りたいと思い ます。とはいっても、セキュアOSでは「強制アクセス制御」と「最小特権」によって、様々なユーザやプロセスに必要最小限の権限を与えることが可能です。 そのため、セキュアOSの効果を網羅的に書くことはできません。ここでは、個人情報保護の観点から、いくつか例を挙げてみたいと思います。


個人情報が入ったデータへのアクセス権限最小化

従来のOSでは、特権ユーザに対してアクセス制限ができないため、個人情報などのデータを格納しているファイルに対して、参照・改ざん・破壊が自由にできていました。

しかし、セキュアOSでは特権ユーザに対してもアクセス制限をかけることができます。このため「2. 個人データへのアクセス制御」に即した制限をかけることができます。

侵入攻撃の防御と被害の限定

特権ユーザを奪おうとする侵入攻撃は、通信を行うサーバアプリケーション(Webサーバなど)のセキュリティホールを利用して侵入し、特権ユーザの権限を奪おうとします。

セキュアOSでは、サーバアプリケーションのプロセスに対しても「最小特権」を適用できます。このため、多くの攻撃に使われるツールは、権限が足りないため実行できず失敗します。また、仮に侵入に成功したとしても、侵入に利用したプロセスと同等の権限しか得られないので、被害を最小限に抑えられま す。

この防御や被害の限定はアクセス制御によって行っているため、未知・未対策のセキュリティホールへの攻撃に対しても有効です。

ログの保護

従来のOSでも、アプリケーションやシステムのログを監査に利用していると思います。しかし、特権ユーザで改ざんが可能であるため、完全に信用することはできません。また、ログを消去されてしまうと、不正が行われたことしかわかりませんでした。

セキュアOSでは、個人情報の入ったデータと同様にログを守ることができます。これにより、改ざんされていない信頼できるログを監査に利用できます。

監査ログの取得

セキュアOSの中には、アプリケーションや従来のOSで取得できるログの他に、監査ログを 取得することが可能な製品もあります。これは、強制アクセス制御のしくみをログ取得に利用することで実現しています。非常に詳細なログの取得が可能で、た とえば個人情報へのアクセスが許されたユーザが、コマンドやログ機能が十分でないアプリケーションを利用してアクセスした場合でも、監査のためのログを取 得することができます。

したがって、ログの保護とあわせて利用することで、「8. 個人データを取り扱う情報システムの監視」を実施することができます。

おわりに

以上、いくつか挙げましたが、他にも数多くの効果があります。ただし、セキュアOSの効果は、セキュリティ管理者が設定したアクセス制御設定に依存します。このアクセス制御設定をしっかり行うことが必要です。

この記事をシェアしてください

前の記事

個人情報保護法とセキュリティ対策

次の記事

セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS

バックナンバー

セキュアOS紹介(3)〜 SELinux

2005年3月23日 20:00

  • セキュリティ
  • 技術解説

セキュアOS紹介(2) 〜 Trusted SolarisとPitBull

2005年3月16日 20:00

  • セキュリティ
  • 技術解説

セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS

2005年3月9日 20:00

  • セキュリティ
  • 技術解説

セキュアOSとは

2005年3月2日 20:00

  • セキュリティ
  • 技術解説

個人情報保護法とセキュリティ対策

2005年2月23日 20:00

  • セキュリティ
  • 技術解説
バックナンバーをもっと見る

この記事の筆者

才所 秀明

Linuxコンソーシアム セキュリティ部会リーダー

日立ソフトエンジニアリング(株) 技術開発本部研究部にて、セキュリティ関連研究に従事。現在セキュアOS「SELinux」の調査研究を担当。セキュアOS「SELinux」の普及推進を目指し、講演、執筆、WG活動などにおいて活動中。
日本オープンソース推進機構 SELinux専門委員会メンバー
Linuxコンソーシアム理事兼セキュリティ部会リーダー

才所 秀明 のプロフィールを見る

筆者の人気記事

セキュアOSの動向

2005年11月2日 20:00

セキュアOS紹介(3)〜 SELinux

2005年3月23日 20:00

セキュアOSとは

2005年3月2日 20:00

業界情報やナレッジが詰まったメルマガやソーシャルぜひご覧ください

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

これは広告です

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12