Linuxが情報セキュリティ管理に果たす役割とは？

LinuxWorldExpo/Tokyo 2005 2日目の基調講演では、NAISTの山口英氏が、現在の情報セキュリティが抱える課題とLinuxの果たす役割について語った。

[高橋睦美，ITmedia]

　6月1日から3日間にわたって東京ビッグサイトで開催されているLinuxWorldExpo/Tokyo 2005。2日目の基調講演では、奈良先端科学技術大学院大学教授の山口英氏が「パラダイムシフトに直面する情報セキュリティ管理」と題し、現在の情報セキュリティが抱える課題と、Linuxの果たす役割について語った。

　これまでも山口氏がたびたび語ってきたとおり、インターネットは、個人の生活にとっても企業のビジネスにとっても不可欠なツールとなりつつある。「高度情報化社会はデジタル情報によって成り立っている。その中で『セキュリティ』といったとき、それはただウイルスなどからシステムを守るという話ではなく、社会経済活動を守るという視点から設計されなくてはならない」（同氏）。

　つまり、ただアンチウイルスやファイアウォールといったツールを用いて情報システムを守るだけでなく、個人情報や知的財産も含んだ情報資産も保護対象になるし、さらには情報処理や通信そのものについても対策を施していく必要があるという。

　ただ、ここで問題を難しくしている要素が「ユビキタス」と「モバイル」だ。ノートPCに加え携帯電話やPDAといったさまざまな機器が普及し、どこからでもインターネットに接続できる環境が当たり前のようになった。同時に「いたるところに複製ができ、情報が拡散している」（同氏）。

　この結果、ノートPCの持ち込みや情報の持ち出し、機器本体の盗難といったさまざまなセキュリティ上の問題が引き起こされていると山口氏は指摘した。「情報処理機器と情報資産が移動することが問題。将来的には、目に見えるPCだけでなく、PDAやICカード、タグといったものまで管理していく必要があるかもしれない」（同氏）。

　もう1つ問題をややこしくしている要素は「人」だ。「情報セキュリティの問題に巻き込まれる人はどんどん増えている」（山口氏）。その過程で、いろいろな事柄を押し付けられている情報セキュリティ管理者と、往々にして物分りがいいとは言いがたい企業トップとの間で「意思決定上の不協和音が出てきている」（同氏）ことも課題だという。

　このように頭の痛い問題がいろいろと存在する中、どうすれば少しでも解決に近づけるだろうか？

チームワークを組んで取り組んでいくことも大事と述べた山口氏

　まず「これまでのシステム防御という考え方から、情報資産管理を中心とした考え方へとシフトすることが大事」だと山口氏。「コアアセットをどう管理するか、バックアップやコンテンジェンシープランも含めて検討していくべき」（同氏）。その際、モビリティという要素を頭に入れてシステムを設計し、運用していくことも必要だという。

　われわれを取り巻くIT環境はどんどん変化している。結果として、セキュリティ管理の目標も変動する。「ムービングターゲットを追求していかなければならない。『あのときはOKだったからこれでいい』とか『他社がこうしているのだからうちもこうしよう』ではだめ」（山口氏）。

　逆に、情報セキュリティ管理をしっかり実現していくことで、「これまで利益を生み出さない『ロスセンター』と言われてきたけれど、業務を改善し、強くて耐久性のあるビジネスを作り出すツール」（同氏）として位置付けていくことができるとした。

開示することによる強さ

　山口氏は続いて、Linuxに代表されるUNIX系システムのセキュリティにおける役割にも言及した。

　まず第一に指摘したのは、Linuxがオープンソースであり、それゆえ情報を開示することによるセキュリティ上の強固さが得られているという点だ。かつてのIBM系メインフレームとUNIXとの関係を例に挙げ、「開示しないことによる防護（No Disclosure Protection）は幼稚なものだと思う。歴史を見ても分かるとおり、（UNIX系システムは）開示することによって強さを獲得してきた」（同氏）。

　さらに、新しい技術のインテグレーションや構造のシンプルさも相まって、Linuxは「マルウェアの登場が少なく、信頼性が高く、他の技術を受け入れやすく、かつ脆弱性が少ない」（同氏）OSとなってきた。

　だが、だからといってこれからも「Linuxだから大丈夫」かというと、そうとは限らないという。その大きな理由は「Linuxがビジネス上の『煩悩』を受け止めるようになったから」（同氏）だ。

　ビジネス上のさまざまな要求を受け入れることで、Linuxが本来備えていたシンプルな構造やシステム設計の美しさが維持できるかどうかが不透明になっている。また、やたらとロードされるカーネルモジュールや多様なシステム構成の組み合わせについて「きちんと検証できるか」も課題だという。

　山口氏は、SELinuxは1つのエポックメーキングだとしながらも、Linuxが「セキュアOS」の候補として有力ではあるが、その地位を確立できるかどうかは、今後の業界全体の取り組みにかかっているとした。

　「何が『セキュア』かは、使われる領域や要件によって異なる。要件を見たうえで、Linuxの上に、技術や経験といった知見をうまく集約していくことが大事」（山口氏）。今後Linuxが活躍していくチャンスはあるが、それも業界全体の努力しだいだという。