商用セキュアos とオープンソースセキュアos …pitbull –デメリット...

1

商用セキュアOS とオープンソースセキュアOS（SELinux ）

All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004

日本高信頼システム株式会社日本高信頼システム株式会社田口田口裕也裕也

http://[email protected]

SELinux BOF2004/11/30

強制アクセス制御機能

導入実績

メリット、デメリット

今後の課題

機能比較項目


2

セキュアOS、TrustedOS製品一覧

・セキュリティ要件に明確な定義はない・第三者機関による認定無し・モジュールによるアクセス制御（LKMを利用）

・国防機関レベルのセキュリティ強度実現困難

・導入、設計は比較的容易・実装機能、セキュリティ強度は製品によって大きく差がある

MIRACLE HizardPitBull Protector Plus Secuve TOS

セキュアOS

（ドライバ型）

・セキュリティ機能要件に明確な定義はない（Trusted OSの機能を部分的に搭載）

・第三者機関による認定無し・セキュリティカーネルによる強制アクセス制御

・国防機関レベルのセキュリティ強度実現困難（オプションによっては実現可）

・導入、設計にはノウハウが必要

SELinuxPitBull LXhp Compartment Guard

セキュアOS

（カーネル型）

・セキュリティ機能要件が定義されている（TCSEC等）

・第三者機関による認定を受けた製品・セキュリティカーネルによる強制アクセス制御

・国防機関レベルのセキュリティ強度実現可能・導入、設計にはノウハウが必要

Trusted Solaris PitBull Foundation Suite

TrustedOS

特徴製品名項目


セキュアOS、TrustedOS製品一覧

セキュアセキュア OS OS （ドライバ型）（ドライバ型）

高

低

セキュリティ強度

セキュアOSセキュアカーネル型

運用のしやすさ

低

高

セキュアセキュアOSOS（カーネル型）（カーネル型）

Trusted OS

適用範囲

PitBull Foundation SuitePitBull Foundation Suite

Trusted SolairsTrusted Solairs

SELinuxSELinux

PitBull LXPitBull LX


3

強制アクセス制御機能比較


SELinuxSELinux ––強制アクセス制御機能強制アクセス制御機能

Type Enforcement Role-Based Access Controlを採用

1. TEのアクセス制御をRBACによってさらに制御して

強制アクセス制御を実現

2. アクセスルールをセキュリティポリシーとして記述

ポリシーに記述のないアクセスは拒否

3. ドメイン遷移による権限の昇格を明示的に定義4. targetedポリシー (システムの一部をSELinux化)

strictポリシー (システム全体をSELinux化)


4

SELinuxSELinux ––強制アクセス制御機能強制アクセス制御機能

- Type Enforcement ＆ Role-Based Access Control -

httpdデーモンのコンテンツファイルへのアクセス許可

allow httpd_t httpd_content_t:file { read };

allow named_t named_zone_t:file { read };

コンテンツ

httpd

ｿﾞｰﾝﾌｧｲﾙ

namedhttpd_t

httpd_content_t

named_t

named_zone_t

read onlyread only

namedデーモンのゾーンファイルへのアクセス許可

Apache(httpd)とBIND(named)のセキュリティポリシーを記述した場合


PitBullPitBull LX LX ––強制アクセス制御機能強制アクセス制御機能

1. DBACのセキュリティ属性（ドメイン）よる強制アクセス制御の実現

2. ドメインの比較によるアクセス可否の判断

プロセスのドメインとファイルのドメインが同じであれば、許可されて

いる範囲内でアクセスできる。異なるドメインの場合、プロセスは

ファイルにアクセスすることはできない

3. プロセスセキュリティフラグによるアクセス権限の制限

4. LXAware （PitBullの機能が有効な部分）

LXUNaware （PitBullの機能が無効な部分）

Domain-Based Access Control を採用


5

PitBullPitBull LXLX ––強制アクセス制御機能強制アクセス制御機能- Domain-Based Access Control -

Apache(httpd)とBIND(named)にドメインを割り当てた場合

ｺﾝﾃﾝﾂ

httpd

ｿﾞｰﾝﾌｧｲﾙ

namedWEB(r--)

WEB(rwx)

DNS(r --)

DNS(rwx)

WEBドメイン DNSドメイン

read onlyread only

LX Aware LX Aware All Rights Reserved, Copyright Japan Trusted Systems Co.,Ltd. 2004

PitBullPitBull FS FS ––強制アクセス制御機能強制アクセス制御機能

1. MLSによる上下階層、TEによる横区分による多面的制御、

さらにRBACによる権限の分割によって強制アクセス制御の実現

2. セキュリティ属性（SL:SensitivityLabels)の比較による

アクセス可否の判断プロセスのSLとファイルのSLを比較して、プロセスのSLがファイルのSLより上位であればアクセスできる。下位の場合はアクセスできない

3. 特権による例外的なアクセス権限の許可

4. 権限による特権使用の制限

Multi-Level Security & Type Enforcement &Role-Based Access Control を採用


6

PitBullPitBull FSFS ––強制アクセス制御機能強制アクセス制御機能- Multi-Level Security & TE & RBAC -

アクセス不可

TopSecret

コンパートメント

クラシフィケーション

Confidential

Public

Unclassified

Web DNS

読込み権と実行権を許可

アクセス不可

httpd named

ｺﾝﾃﾝﾂｿﾞｰﾝﾌｧｲﾙ

read onlyread only

CON WEB

PUB WEB

CON DNS

PUB DNS

TrustedSolarisも同様のMLSを採用して強制アクセス制御を実現

Apache(httpd)とBIND(named)にSLを割り当てた場合


導入実績比較


7

SELinuxSELinux ––導入実績導入実績

まだまだ発展途上な技術のため、研究開発が中心大きな導入事例などは公開されていない

1. 日本SELinuxユーザ会準備委員会の立ち上げ

・メーリングリスト、ドキュメントの翻訳など

2. 日立ソフトウェアエンジニアリング株式会社

・設定ツールのSELinux/Aidの開発、書籍出版

3. ターボリナックス株式会社

・Turbolinux10ServerへのSELinux搭載

4. 日本高信頼システム株式会社

・SELinux教育スクールコースの開催

導入実績は少ないが、SELinux普及の活動は活発になっている


PitBullPitBull ––導入実績導入実績

豊富な導入、数々のセキュリティ賞の受賞実績

2001 eWeek

最優秀ソフトウェア賞受賞

ベストテクニカルセキュリティソリューション

（ドイツASPコンソーシアム2001）

CNET編集者が選んだ最優秀セキュリティ製品

導入企業例

・国内官公庁（Web公開サーバ）

・DoD, CIA, US Army （国防機関）

・Sandia National laboratories （政府機関）

・TrustCenter （CA認証局）

・Credit Swiss （オンラインバンキング）

・Indentrus (CA認証局）

・Chase Manhattan (Webバンキング）

・Bank Julius Baer （オンライン資産管理）

・Union Bank of Switerland （ビル･ペイメント）～１６カ国１００社以上へ導入実績～


8

PitBullPitBull ––導入実績導入実績2000年アメリカ合衆国ハッキングコンテスト OpenHackⅡ

通常のUNIX＋多段Firewall+IDSで配置したが6日で突破される


PitBullPitBull ––導入実績導入実績

Open HackⅢ2001

PitBullPitBullのみでのみで1177日間（開催全期間）防御日間（開催全期間）防御

FirewallFirewall、、IDSIDS等は一切配置していない等は一切配置していない

・17日間 4種類のサーバ mail/DNS サーバなど・複数のWebサイト(アカウント/パスワードの公開)・Telnetサーバ (アカウント/パスワードの公開)

→ PitBullのセキュリティ対策のみで防御

・540万超のアタック (Openhack Ⅱの10倍)・40,000超のアタッカーがログイン・ハッカーはルートアカウントを入手(bindのバグを利用)


9

●●●●●SecuveTOS

●●●●●PitBull Protector Plus

●●●●●MIRACLE HizardｾｷｭｱOS

（ﾄﾞﾗｲﾊﾞ型）

●hp Compartment Guard

●SELinux

●●●PitBull LXｾｷｭｱOS

（ｶｰﾈﾙ型）

●●PitBull Foundation Suite

●Trusted SolarisTrustedOS

WinLinuxHP-UXAIXSolaris製品名カテゴリ

対応プラットフォーム比較


メリット、デメリット


10

SELinuxSELinux ––メリットメリット

オープンソース、カーネル2.6に標準装備、新機能が続々追加

1. カーネル2.6に標準装備• 追加的なコストは不要

2. 商用ディストリビューションへの採用• LinuxのセキュアOSの標準となる可能性

3. 新機能が続々追加• targeted、strictポリシーの追加、boolean機能の搭載など


SELinuxSELinux ––デメリットデメリット

オープンソースの課題であるサポート体制の欠落

1. サポート体制の欠落• システム導入にはサポート体制が絶対必要

2. 扱えるエンジニアの育成• システム導入には扱えるエンジニアが必要


11

PitBullPitBull ––メリットメリット

PitBull開発元米国アーガス社、日本総代理店インフォコム社、マスターリセラーによるサポートの充実

1. 24時間365日サポート体制の確立• トラブル時の24時間の電話受付、オンサイト対応

2. 豊富な導入実績• 世界16カ国100社以上の導入実績


PitBullPitBull ––デメリットデメリット

製品そのものの価格が高い、機能開発が停滞気味

1. PitBull自身の価格が高い• 初期投資が高い• PitBull Foundation Suite ¥ 4300000

• PitBull LX for Solairs ¥ 1500000• PitBull LX for Linux ¥ 680000

2. 追加的機能の開発が停滞• アクセスログの出力機能がない• GUI管理ツールがない

• セキュリティポリシーサンプルファイルの不足


12

• パッチマネージメントの効率化– TrustedOS– セキュアOS（カーネル型）

• マルチプラットホームへの導入– セキュアOS（ドライバ型）

• Solaris、HP、AIX、Linux、Windows

• GUI制御（設計/実装の簡易さ）– セキュアOS（ドライバ型）

• システムの統合化による経費削減– 大規模システム、中規模システム、小規模システム

導入時の選択の仕方


• セキュリティポリシー定義がやや複雑→ 使いやすさにはツールの開発が必須

• セキュリティポリシー策定（ISMS）→ どのデータへ誰をアクセスさせるのかといった設計が重要

（設計を誤るとセキュアOSでも不正行為を防げない）

• ユーザ認証が弱い→ 通常のBasic認証のみ。物理的な認証によって補強が必須

• データの保護をするわけではない→ セキュアOSはアクセス制御のみ。データの暗号化は別途補強

共通する課題


13

• SELinux→ 商用ディストリビューションが採用（Turbolinux,RedHat)→ 新機能が続々追加、今後のセキュアOSの中心となる可能性→ サポート体制の確立が必須

• PitBull→ 過去の成功体験から安住し、機能開発の停滞→ 不足している機能が多々ある→ 追加の機能開発が必須

• TrustedSolaris→ Solaris10へセキュリティ機能をマージ→ LSPPオプションによってMLS機能を実現→ サン・マイクロシステムズ社のサポート開始

まとめ


ご清聴ありがとうございました

日本高信頼システム株式会社田口裕也

[email protected]


商用セキュアos と オープンソースセキュアos …pitbull –デメリット...

Documents

商用セキュアos とオープンソースセキュアos …pitbull –デメリット...