「セキュアOSは次世代セキュリティの核」とするSecuBrain

サーバをさまざまな脅威から直接保護し、さらに情報漏洩までも防いでくれる手段がセキュアOSであり「HiZARD」だと、韓国のSecuBrainは説明する。

[高橋睦美，ITmedia]

　「これまではネットワークサービスの制限やファイアウォール、IDS（不正侵入検知システム）といった間接的な方法でデータの保護やセキュリティの実現を図ってきた。しかし、そういった方法には限界が見えつつある。今求められているのは、積極的にシステムを保護する方法、すなわちセキュアOSだ」――このように語るのは、韓国のセキュリティ企業、SecuBrainの社長兼CEOを務めるイ・ビョンチョル氏だ。

　同社は、既存のOSに追加することでシステムコールの挙動を把握し、OSを脅威から直接保護するセキュアOS製品、「HiZARD」を開発、提供している。国内ではミラクル・リナックスが代理店となり、「MIRACLE HiZARD」の名称で販売を行っている。

　セキュアOSの中にはSELinuxのように、OSそのものに強制アクセス制御（MAC）をはじめとするセキュリティ機能を組み込む方式もある。これに対しHiZARDはLinuxやWindows、Solarisなど既存のOSに追加して利用する。したがって、OSやプラットフォームを入れ替えることなく、セキュリティの強化を図ることができるという。

SecuBrainのビョンチョル氏は「セキュアOSは企業の大事な情報資産を直接保護する方法だ」と述べる

　いわゆるパーソナルファイアウォールやホスト型IDSも「端末」「OS」を保護する機能を提供するが、HiZARDはより深いレベルで、バッファオーバーフローをはじめとするさまざまな攻撃や脅威をブロックしてくれる。システムコールを直接監視し、これらセキュリティソフトも含めあらゆるアプリケーションの挙動を監視し、制御する。

　「セキュアOSは次世代セキュリティの核になる」（同氏）。

　特徴は、ポリシーの設定／変更を容易に行えることだ。「セキュアOSは簡単に設定できなければならないし、運用コストの削減につながるものでなくてはならない」（イ氏）。とりあえず導入し、ログを分析しながらロールベースのアクセスポリシーを徐々にチューニングしていくといった運用も可能という。

　カーネルとアプリケーションとの間にレイヤが1つ加わることで懸念されるオーバヘッドも「確かにあるが、通常のOSと比較した場合、CPU使用率の違いは1％程度」と、ほとんど問題ないレベルにとどまっているという。

個人情報保護法対応には「必須」アイテム

　「たとえファイアウォールやIDSがあっても、それが搭載されているOS自体が脆弱性を突かれ、攻撃されれば無力化してしまう」（イ氏）。そういった事態に備え、セキュリティソフトが動作するプラットフォームにHiZARDを導入しているケースがあるほか、Webサーバに導入して改ざんに備えている事例があるということだ。

　もっとシビアな環境もある。「金融機関などの場合、不正侵入や情報漏洩はもちろん、操作ミスなどによるダウンタイムも許されない。HiZARDは、あるサービスに接続できるユーザーをあらかじめ定め、それ以外のアクセスを拒否することにより、そういったミスが生じる余地をなくしてくれる」（同氏）。この仕組みはrootでさえも例外ではない。

　HiZARDのこの機能は、2005年4月に迫っている個人情報保護法への対策にも有効だ。強制的かつ細かなアクセス制御によって情報漏洩を防ぐだけでなく、「カーネルレベルでいつ、誰が、どのデータにアクセスしたかが分かり、監査の役割を提供してくれる」（イ氏）ことから、「セキュアOSは、個人情報保護法の要件を満たしてくれる。その意味で、多くの人がセキュアOSを求めるようになるだろう」という。

　イ氏はまた、「セキュリティとくれば、しばしば『こういった製品がどうこう』『このようなモノがどうこう』といった話題になる。しかし、実はセキュリティとは技術ではなく、管理が鍵を握っている」と指摘。その管理をきちんと行ううえで必要になる正確な情報を、セキュアOSは提供できると述べた。

　今後は、「セキュアOSの認知度を高めていく」（イ氏）とともに、あらかじめ定義済みのポリシーとともに提供され、より用意に導入できる簡易版HiZARDを提供していく予定がある。また、今後の「デジタル家電時代」をにらみ、組み込みOS向けセキュアOSの開発も検討していくという。