「トラステッドOSの解説と実演」
日本ヒューレット・パッカード株式会社
アジアパシフィック・セキュリティ・コンサルティングマネージャ
佐藤 慶浩 氏 |  |
|
-
Trusted OS とは1980年代に米国国防総省が策定した軍用のコンピュータシステムの調達規格であるTCSEC(Trusted Computers Systems Evaluation Criteria, 通称「オレンジブック」)や、CMWEC(Compartmented Mode Workstation Evaluation Criteria)に準拠して開発された高度セキュリティ対策OS である。
オレンジブックでは、セキュリティのレベルに応じてD 〜 A に分類されているが、通常Trusted OS と呼ばれるのは、高度なセキュリティ機能を持ったB 〜 AレベルのOS である。 その独自性から国防レベルの限られたシステムとして利用されてきたが、インターネットの普及に伴い商用向けの第3世代Trusted OSが注目を浴びている。
2001年の「OpenHack3」ではTrusted OS を採用したサーバに対してアクセスが試みられたが、はじめてハッキングを許さなかったこともTrusted OS の真価を示している。
- ■バッファー・オーバー・ラン問題への対策
安全なシステムを構築するため予防・保護・検出・対応の4点を取り上げ、バッファー・オーバー・ラン(以下:BOR)問題の対策について話された。
- 予防:アプリケーション開発のガイドライン遵守
- - BOR を引き起こす関数は使用しない(関数をマクロ化する)
- 保護:最新のパッチを適用
- アプリケーションレベルのセキュリティ製品の導入
- カーネルレベルのOS セキュリティ強化
- 検出:IDS の導入
- ネットワーク、ホスト、ファイル、カーネルベース
- 対応:インシデント対応体制と手順の確立
- ・根本的な部分として、開発の時点で問題を起こさないよう予防する。
- ・セキュリティ対策を施し、システムを保護する。
- ・侵入検知システムによる検出。
- ・セキュリティインシデント発生時の対応策を事前に準備する。
- ■インターネット・サイトの脆弱性
- ・ファイアウォールの効用と限界
- ・DMZ の正しい理解
- セキュリティ対策をする上で、ネットワークの脆弱性知らなければならない。ファイアウォール及びDMZ (非武装地帯)の正しい知識が求められる。
ファイアウォールはアクセスを制御するものであり、Web サーバへ侵入後の攻撃や詐取・なりすましによる不正なアクセス等の潜在的危険性をファイアウォールは無効化する。
DMZ は外部からのWeb サーバややDNS サーバ等へのアクセス要求を許すものである。ユーザの要求を許すところは監視の対象となり、監視していなければパブリックなネットワークへ公開され危険な状態に晒されていると考えるべきである。これらを踏まえ、Trusted OS の詳細な解説へと移った。
- ■TCSEC B Level Security
- ・Bell-La Padula モデル
- ・アクセス制御
- - 任意アクセス制御
- - 強制アクセス制御
- ・B Level Security の目的
- Trusted OS に関しては、Bell-La Padula について詳しく話していただいた。
Bell-La Padula モデルは、主体(subject)、客体(Object)、アクセス(access)を定義し、主体及び客体は特定のセキュリティクラスに属する。客体に対しても格付けを行うことで強度なセキュリティを実現できる。主体は、それよりも高いレベルのセキュリティクラスを持った客体に対して、追記のみ行えるため改竄が不可能である。また、主体はそれよりも低いセキュリティクラスの客体からは読み込みしかできないため、下位クラスの主体へ情報が流出しない。また、主体のクラスによってディスプレイへの表示、リムーバブル・メディアへの書き込み、プリント・アウトやネットワークを利用したファイルの移動に関する制限もあるため、情報の流出の危険性は低くなる。Trusted System(高信頼性システム)は高度なセキュリティを保持するために作られたシステムである。セキュリティとは、機密性(Confidentiality)、保全性(Integrity)、可用性(Availability)を持つものである。
B Level Security は真正確認(Authentication)、アクセス制御(Access Control)、アクセス権管理(Authorization)、検査(Auditing)、保証(Assurance)の5A の確立を目的としている。
- ■性善説・性悪説
- 年々ネットワーク犯罪が増加しているが、外部からの不正なアクセスのみならず内部へと目を向けると予想外の多さに驚く。日本では性善説を重んじる傾向があるため性悪説に基づいた対策がされていない。そのため内部犯行の対策が疎かとなっている。内部犯行、外部犯行の切り分けを無くし、性悪説を想定した対策を取るべきである。
- ■所感
- Trusted OS はOS のコアな部分のセキュリティ強度を高めるものである。また、Trusted OS は未知の攻撃手法への対応であり、最新パッチ適応の時間的猶予を持たせることによるコスト削減、侵害による被害の最小化によるリスクの低減の効能がある。しかし、TCSEC におけるB Level 以上のコンピュータを購入したからといって安心は出来ない。B Level、A Level はテクノロジーの目安である。そして、製品そのものが安心であるとの誤解がある。
- 「扉は自分で開け 道を知ることと 歩くことは違う」
佐藤氏の言葉から、受動的に対応するのではなく、自発的に対策をとることで問題に立ち向かわなければならないことを認識させられた。また、Trusted OS の有効性および、セキュリティ対策を行う上での前提条件ともいえる内部犯行対策の重要性を露呈したものでもあった。日本が性善説の形態を改善しない限り、新たな種種の問題が起きることだろう。根本に近い部分の対策について考える機会となった。
- 株式会社ラック
セキュアネットサービス事業本部
SOC 事業部 技術部
秋田 裕介
|
|
