「抜本的対策が必要」――セキュアVM開発の支援に取り組むコンソーシアムの狙い

政府の情報セキュリティ施策パッケージ「セキュアジャパン2006」に関連した調査研究、技術開発の推進を目的としたコンソーシアムが設立された。

[高橋睦美，ITmedia]

　政府がまとめる情報セキュリティ施策パッケージ「セキュアジャパン2006」に関連したセキュリティ関連技術の研究などに取り組むことを目的に、6月15日付で「セキュアIT基盤開発推進コンソーシアム」が設立された。会長には、筑波大学大学院システム情報工学研究科教授の加藤和彦氏が就任している。

　このコンソーシアムの目的は、OSをはじめ、ITの基盤技術におけるセキュリティ機能の強化に必要となる課題を抽出し、それを克服するための調査研究や技術開発などを進めていくことだ。

　具体的な活動計画としては、「セキュアジャパン2006に関連したセキュリティ関連技術項目の研究」のほか、「セキュアなソフトウェア基盤開発に向けての要件整理と政府へのプロジェクト提案」「セキュアIT基盤開発に関わるプロジェクトへの協力」「内閣官房、政府関係省庁とのセキュリティ分野に関する意見交換」「セキュリティ関連会議への支援」が挙げられている。

　同コンソーシアムの事務局長を務める澤田栄浩氏は、設立の背景として、情報通信システムが社会インフラとなり、安全性／信頼性向上に対する要求が高まっていながらも、そのセキュリティ対策は必ずしも磐石とは言いがたい状況があると言う。根本的な解決を図るには「OSを核とした、コンピュータをハンドリングしていく部分を軸に基盤を強化していく必要がある」と同氏は述べる。

　というのも「現在のセキュリティ対策は下からの積み上げではなく、上の方でばかり対処を行っているが、上位層でできることには限界がある。新しい脅威が出てくればすぐやり直しとなり、疲弊するばかりだ。OSを中心とした基盤ソフトウェアの部分を強化し、抜本的に対策を打たなければならない」（澤田氏）からだ。

　「『木を見て森を見ず』というアプローチでは漏れが多いし、後からやり直しが必要になってしまうこともある。アプリケーションだけでどうにかなる問題ではない」（同氏）。新たな脆弱性が発見されたらパッチがリリースされるまで待ったり、新たなマルウェアに対しパターンファイルが作成され、配布されるのを待つといった具合に、現在の対策手法は往々にして受動的だ。これに対し能動的なセキュリティ対策が必要であり、コンソーシアムではそのための取り組みに積極的に協力していくという。

　澤田氏によると、こうした課題に対する抜本的な解決策の1つが、セキュアVMによる下層レイヤーでの制御だ。その上にあるゲストOSがどういったものであろうと、VM側でコントロールすることによりシステムへの侵入を防ぐとともに、仮に入り込まれたとしても被害を最小化できる可能性がある。こうした基盤ソフトウェアは、「その上に乗るものが多いだけに影響も大きく、非常に重要」と同氏は述べる。

　セキュアIT基盤開発推進コンソーシアムでは、そうした役割を担うセキュアVMの開発に向けた支援を行うほか、ゲストOS部分のセキュリティ強化についても検討していく計画だ。防衛庁で選定が宣言されている「セキュリティに配慮したOS」に関する支援も行う。また中長期的には、電子政府で導入されるOS環境の選定や、OSのセキュリティ品質の評価尺度などについても支援を行っていく方針という。

　澤田氏は、「あるべき姿を作っていく手伝いができれば」と述べ、産学官が連携しての調査研究を通じて、セキュアジャパン構想の実現に向けた支援を行っていきたいとしている。

　なお、セキュアIT基盤開発推進コンソーシアムの参加各社は下記の通り。

会員：NTTデータ、ターボリナックス、日本高信頼システム、日本電気、日立製作所、富士通、ミラクル・リナックス

理事会社：イーゲル、テンアートニ、電子商取引安全技術研究所、電子情報技術産業協会、みずほ情報総研、三菱電機