「ユーザー任せのセキュリティはやめたい」、セキュアVMの狙い

セキュアVMの狙いは「ユーザー任せのセキュリティにしたくない」ことだと山口英氏は述べる。

[高橋睦美，ITmedia]

　「ユーザー任せにしない適正管理の方法、特定のOSに依存しない解決方法をユニバーサルに提供していきたい」――。

　インテルは11月14日に「インテル プラットフォーム技術セミナー 2006」を開催した。セミナーの最後には、奈良先端科学技術大学院大学教授の山口英氏（内閣官房情報セキュリティ補佐官）が登場し、インテルの協力も得て開発を進めているOS環境、「セキュアVM」の目的について語った。

　山口氏はまず、今や、われわれの社会経済活動はIT化されたプラットフォームの上で動いており、万一メールやネットワークが止まってしまえば何もできなくなる状態に陥ると指摘。これを踏まえ、情報セキュリティ管理を通じて、システムや情報資産が適切に動くようにすることが喫緊の課題だとした。

　もう1つの大きな課題が個人情報の保護だ。官公庁においてもたびたび情報漏洩事件が発生してきたこともあり、いかに個人情報を守るかが国民的関心事になっている。この問題について、単純な漏洩対策に終わらせることなく、トータルな情報資産管理にまで踏み込んで取り組んでいかなければならないとした。

　しかし、ここで1つ問題が浮上する。「サーバには管理リソースが投下されており、ある程度リスクを抑えることができている。一方で、エンドユーザーに任されているエンドノードのリスクが高まっている」（山口氏）。既存の管理基盤との融合を図りながら、いかにこの問題を解決していくかがチャレンジだと述べた。

インテル プラットフォーム技術セミナー 2006で講演した奈良先端科学技術大学院大学教授の山口英氏

　この取り組みは、政府が掲げる「第1次情報セキュリティ基本計画」で触れられている「横断的基盤の形成」の一環という位置づけだ。また総合科学技術会議が進める情報通信分野における「重要な研究開発課題」と連動するものでもある。

ハードウェアとOSを直接関係させない

　一方、ITの世界ではここ数年、「仮想化」が大きなキーワードになっている。セキュアVMとはこの技術を活用し、セキュリティ機能を組み込んだVM（Virtual Machine：仮想機械）を通じて既存のOS環境を丸ごと制御しようとするものだ（関連記事）という。

　そもそも仮想マシンとは「単に複数のOSを共存させて便利だ、というだけの技術ではない。OS環境とハードウェアを直接的に関係させないことにより、安全なソフトウェアの実行や機能の単純化といったいろいろな副産物が生まれる」（山口氏）

　この特徴を活用し、OSに依存しないセキュリティ管理基盤の実現を目指しているのがセキュアVMだ。

　これまでのシステムは、ハードウェアの上に直接OSが乗り、その上でアプリケーションが動作してきた。このため「OSがこけるとすべてがこける」（同氏）。しかも、ハードウェアの違いを吸収するのもOSの役割となる。

　これに対し仮想機械を活用し、OSをハードウェアの上に直接載せないようにすれば、それぞれの依存関係を吸収でき、上に乗るゲストOSを軽くできる。ハードウェアの差分を吸収できるため、管理コスト削減にも効果があると同氏。

　同時に、仮想機械上に複数のゲストOSを載せることにより、「リスクの異なる業務を同じ環境で実行するという状態を避けることができる」と山口氏は述べた。現状では、リスクの高い仕事も低い仕事も同一の環境で実行していたり、逆にそれを避けるために複数のPCをわざわざ用意し、使い分けるといった状況にある。これに対し、セキュアVM上に複数の環境を共存させれば、そうした悩みは解消できるとした。

　「VMのいいところを使い、セキュリティの機能を混ぜて、OSと独立してセキュリティをある程度管理していこう、ということを考えたプロジェクトだ」（山口氏）

ユーザーやハードウェア依存をなくす

　セキュアVMを通じて実現したいことは、大きく3つあるという。

　1つは「セキュアなネットワーク管理」だ。「今は無統制に、何でも望んだノードにつなげる状態でネットワークが使われているが、これは大きな問題。ある程度制限をかけるほうがいろいろといいことがある。確かにユーザーの自由を奪うことになるが、受け入れられる範囲だろう」（山口氏）。同時に、VPNによる暗号化によって通信の傍受を防いだり、ボット感染の影響を封じ込めるための検疫の仕組みなどにも活用していきたいという。

　2つめはID管理だ。すでに国家公務員には統一したIDが付与され、ICカードが配布されつつある。省庁ごとにばらばらにアクセス管理を実現するのではなく、「統制されたアクセスを統一されたIDに基づいて実現したい」と山口氏。必要に応じてPKIやワンタイムパスワードといったシーケンスの組み合わせも考えられるという。

　最後は、HDDやUSBといった媒体の暗号化だ。「情報漏洩事案の大半は盗難や置き忘れによるもの。こう考えると、HDDを暗号化しないで使うことはあり得ない。しかし、暗号化という作業をユーザー任せにすると『遅くなる』といった理由から避けられがち。そこで、ローンチの段階でストレージの暗号化を組み入れていく」（山口氏）

　「ユーザー任せのセキュリティはやめたい。ハードウェア構成に依存せずにVMを動かし、ゲストOSをローンチすることによって、OSの脆弱性に左右されない基盤を作りたい」（同氏）

　さらに、この取り組みは、納税者の視点から見て合理性あるものにもしていくと同氏は述べた。

　まず、研究開発だけで終わるのではなく、政府機関で実際に利用されることを想定し、技術的な部分だけでなく手順の部分も詰めていくという。また、成果が妥当なものかをきちんと評価し、「他のVMの成果などと見比べた上で優位性があれば本格的な導入を進めるというステップを踏む」（同氏）ことで、投資に対する成果が得られているかを確認する。割高のシステムをベンダーの言うなりに導入するのではなく、「最適化され、高機能で信頼性があるやすいものを作っていかないといけない」と山口氏は述べた。

　もちろん、「VMware」「Xen」といった既存のVMを活用するのではなく、一から作るために手間は掛かる。例えばデバイスドライバ周りの開発の部分には、相応の困難が伴うことが見えていると同氏。

　だが逆に、他国における取り組みでは、ホストベースのVMを活用するため、結局はホストOSとゲストOSの脆弱性の二重苦に苦しめられる可能性があると指摘。これに対しセキュアVMは「非常に小さな環境を作ろうとしている」ほか、コード依存性がないため、性能に関する部分でうまく切り込めるのではないかと述べている。