２００９年３月２４日（火） 第３回セキュアＶＭシンポジウム 筑波大学 講師 品川高廣

１．セキュアVMについて ▪ 背景，アプローチ，機能，利用イメージ

２．仮想マシンモニタ「BitVisor」について ▪ 構成，前提条件，設計方針，アーキテクチャ，利害得失

３．BitVisorの現状と今後について

▪ 各種機能の実装状況，各種デバイスへの対応状況など

2009/3/24 2

１．セキュアVMについて

2009/3/24 3

「デスクトップ環境」からの情報漏洩 ▪ ストレージ経由（PC本体・USBメモリの紛失・盗難，…）

▪ ネットワーク経由（ウィルス感染，ファイル交換ソフト，…）

「きわどい」情報の漏洩

▪ 自衛隊，官公庁，教育機関，病院，銀行，…

なくならない情報漏洩事件

▪ 現在でも月平均「１０件以上」発生※

※Security NEXT 「個人情報漏洩事件一覧」より算出

2009/3/24 4

強力なセキュリティ ▪ たとえOSが乗っ取られても大丈夫

OSからは完全に隔離された環境で動作

強制的なセキュリティ

▪ 勝手に無効に出来ない 「ユーザ任せのセキュリティはやめたい」

（山口内閣官房情報セキュリティ補佐官談）

持続的なセキュリティ

▪ 仮想マシンモニタは脆弱性が少ない セキュリティアップデートの手間が軽減

2009/3/24 5

ハードウェア

仮想マシンモニタ

セキュアVM

ＯＳ

ストレージ経由での情報漏洩

HDDやUSBメモリを強制的に暗号化

▪ 暗号鍵はICカードに格納

▪ ICカードが無いと情報を解読不能

ネットワーク経由での情報漏洩

ネットワーク通信を強制的に暗号化

▪ 暗号鍵（秘密鍵）はICカードに格納

▪ 接続先を特定のサーバに強制

2009/3/24 6

ログイン ICカードをセットする

PINを入力する

システムの起動 暗号化が解除される

VPNが接続される

ログアウト OSを停止する

ICカードを抜く

2009/3/24 7

IC Card

VPN サーバ

IC Card カード リーダ

PIN: ****

２．仮想マシンモニタ 「BitVisor」について

2009/3/24 8

セキュアVM（仮想マシン） ストレージ管理 ▪ HDD・USBメモリの暗号化

ネットワーク管理 ▪ IPSecでVPN接続

ID管理 ▪ ICカードで認証・鍵管理

ＶＭＭコア ▪ CPU・デバイスの仮想化

▪ アクセス制御

VMM（仮想マシンモニタ）

ハードウェア

ゲストOS

ネットワーク管理 ストレージ管理 ID 管理

認証 鍵管理

VPN 暗号化

VMMコア

CPU・デバイス仮想化，アクセス制御

2009/3/24 9

Windowsが動作すること

ゲストOSは変更しない

実運用を視野に入れること

政府機関での使用，オープンソース公開

開発期間・コストは限定的

約２年半弱，研究員5名，

2009/3/24 10

VMMを出来るだけ小さくシンプルにする VMM自身のセキュリティ向上に有効

▪ バグの数はコード行数に比例して増加する

OSが1つ（Windows）動作すればよい

ターゲットはデスクトップ（オフィス環境） ▪ Windows 上でOffice などのアプリケーションが動作すれば十分

対応デバイスは限定してよい

オフィス環境で必要なものに絞ってサポート ▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, …

2009/3/24 11

基本はI/Oをパススルー ▪ ゲストOSがデバイスを直接制御

最小限のI/Oを監視・変換

制御I/Oの監視 ▪ デバイスの状態把握

▪ VMMに対するアクセス制御

データI/Oの変換 ▪ ストレージ・ネットワーク暗号化

VMM

ハード

ゲストＯＳ

デバイス

2009/3/24 12

デバイスドライバ

準パススルー ドライバ

監視 変換

制御I/O データI/O セキュリティ機能

セキュリティ向上 VMM自身の安全性が向上する

▪ VMMのサイズ削減・シンプル化できる

性能・完成度向上

仮想化のオーバーヘッドを削減できる ▪ ゲストＯＳのデバイスドライバを活用できる

開発コストの削減

０からの開発が現実的なコストで可能になる ▪ デバイスドライバの数を限定できる

既存の環境との親和性

既存のシステムに追加する形でインストール可能 ▪ ユーザの追加操作は必要最小限にできる

2009/3/24 13

複数ゲストＯＳは同時に稼働しない

デスクトップ環境だから許容される

▪ Windowsがセキュアな環境で動作させることが目的

デバイスごとにドライバが必要

通常のドライバよりは小さい

監視対象のデバイスの分だけ用意すればよい

2009/3/24 14

2009/3/13 15

Host OS

VMM

ゲストOS ゲストOS

VMM

ゲストOS ゲストOS

デバイスドライバ デバイスドライバ

デバイスモデル

VMM

Domain 0

ゲストOS

デバイスドライバ

リソース管理

抽象化層

デバイスモデル

ハードウェア ハードウェア ハードウェア

リソース管理

リソース管理

デバイスモデル

Type II VMM Type I VMM (Hypervisor) Xen

～200KLOC (VMWare ESX Server)

～100KLOC+Domain 0

VMM

ゲストOS

準パススルードライバ

ハードウェア

セキュリティ管理

BitVisor

～30KLOC+Small drivers

起動時のみに必要な処理を補助

専用ゲストOS（Linuxベース）を起動 ▪ PIN入力，ICカードアクセス，暗号鍵読み込み，設定読み込み

VMMに情報受け渡し後，本来のゲストOSを起動 ▪ ヘルパーOSは終了処理の後，消去

2009/3/24 16

BitVisor

ハードウェア

ヘルパーOS

PIN:****

BitVisor

ハードウェア

ゲストOS

３．BitVisorの現状と課題

2009/3/24 17

VMMコア CPU (Intel, AMD)

ストレージ管理 暗号化, HDD, CD-R/DVD-R, USBメモリ

ID管理 ICカード，PIN認証

ネットワーク管理 IPsec (IPv4, IPv6)，NIC (Intel, Realtek)

2009/3/24 18

仮想マシンモニタ機能 OSに頼らないセキュリティの実現

▪ I/Oの横取り機能など

VMM自身の保護 ▪ OSが乗っ取られてもセキュリティ機能を堅持

開発状況：実装済み（約3万行）

Intel VTプロセッサで動作可能 ▪ マルチコア，64bit対応 ▪ AMD SVMでも試作版が動作

各種OSが動作可能 ▪ Windows Vista/XP, Linux, FreeBSD, …

2008/9/26 19

ストレージ・データの暗号化機能

紛失・盗難時の情報漏洩防止 ▪ ICカード内に格納された鍵が必要

マシン間・部署間での情報共有 ▪ ICカード内に鍵を持つ人のみアクセス可能

開発状況：実装済み

AES-XTS方式（256bit）により暗号化 ▪ IEEEで標準化されたストレージ暗号化方式

2008/9/26 20

ハードディスク（ATA） 開発状況：実装済み

▪ AHCI対応は今後の課題

CD-R/DVD-R（ATAPI）

開発状況：近日公開予定

USBメモリ

UHCI（USB1.1）：実装済み

EHCI（USB2.0）：近日公開予定 ▪ OHCI対応は今後の課題

2008/9/26 21

ICカード（Type B）の管理

暗号鍵の管理

▪ 起動時の鍵読み込み

認証

▪ 起動時のPIN認証，VPN接続先認証

開発状況：実装済み

PIN認証，鍵の読み出し

接触型/非接触型ICカードリーダで動作

2008/9/26 22

VPNによるネットワーク接続 ネットワークの暗号化

▪ 通信を盗聴されない

接続先の認証 ▪ 勝手にインターネットに接続させない

開発状況：

VPN（IPsec）: 実装済み（IPv4, IPv6） ▪ パスワード認証，証明書認証

NICドライバ： ▪ Intel PRO/100, PRO/1000: 実装済み

▪ Realtek RTL8169: 近日公開予定

2008/9/26 23

AHCI OHCI 無線LAN IEEE1394 PCカード

2009/3/24 24

ストレージ管理 AES-XTS（256bit）による暗号化 ATA, USBメモリ（USB1.1）に対応

▪ CD-R/DVD-R, USB2.0 は近日対応

ID管理 起動時のPIN認証，暗号鍵の格納，VPN認証 ICカード（Type B）に対応

▪ パスワード認証などの対応も検討中

ネットワーク管理 IPsec（IPv4, IPv6）対応 Intel PRO/100, PRO/1000対応

▪ Realtek 8169は近日対応

2009/3/24 25

メンテナンス体制の構築 メーリングリスト（users@bitvisor.org, devel@bitvisor.org） 内閣官房情報セキュリティセンターへの期待

▪ NISC内部での実運用，関係省庁への導入

サポート企業登場への期待

各種管理機能との連携

リモート管理（Intel vProなど） ICカード発行管理

未対応デバイスへの対応 AHCI, OHCI, 無線LAN, IEEE1394，PCカード，…

2009/3/24 26

セキュアVMについて 情報漏洩を防止する仮想マシン

▪ ストレージとネットワークの暗号化

BitVisorについて 準パススルー型仮想マシンモニタ

▪ 仮想マシンモニタのサイズを小さく出来る

BitVisorの現状と課題 ストレージ管理 ID管理 ネットワーク管理

2009/3/24 27

セキュアVMプロジェクト http://www.securevm.org/

ビットバイザー

http://www.bitvisor.org/

BitVisor 1.0 近日公開予定

2009/3/24 28