SELinux のセキュリティ強化を簡単にする

セキュリティをもっと簡単に

「Brickwall Security Suite」を1月にリリースしたオープンソースセキュリティベンダの Tresys Technology は、今月のユーザーシンポジウムに向けた準備と、「Razor」関連の IBM との共同開発を着々と進めている。Razor は同社の市販製品第二弾で、Linux カーネルに搭載された SELinux（Security-Enhanced Linux）の「強化セキュリティ」をスムーズにインプリメントする。

Tresys の最高技術責任者（CTO）、Frank Mayer 氏は LinuxPlanet のインタビューに答え、GUI を搭載した Brickwall スイートには、無償の「Standard」バージョンのほか、商用の「Professional」および「Enterprise」の両エディションがあることを指摘した。

同スイートは基本的に、大企業や中小企業の IT 担当者が今後有望なセキュリティ技術をもっと簡単にコンフィギュレーションおよびカスタマイズできるようにし、SELinux の採用を拡大することを目指している。

Mayer 氏は LinuxPlanet に対し、「SELinux はあらゆるものをロックする。でも、Linux は結構複雑なこともある。SELinux だと、これがかなり複雑になることがある」と語っている。

Linux 2.6カーネルで新たに追加された SELinux は、当初は米国家安全保障局（NSA）が高いセキュリティの要求される政府導入用に開発した。この技術は、きめ細かいセキュリティの実現を目指し、「強制アクセスコントロール」で構成されたロールベースの許可システムを採用する。

同氏は、「しかし、SELinux にはアセンブリ言語で書かれた数万というルールが入っている。われわれは、この複雑に絡み合ったコードをリファレンスコードにすることでインプリメンテーションを容易にしている」と語っている。

同氏は、政府機関以外では金融サービスや医療プロバイダが特に Linux の「強化」を必要としており、このニーズが現在の規制状況から生まれたものであることを示唆している。

『SELinux By Example』の著者でもある Mayer 氏によると、Red Hat、Debian、Gentoo、および Ubuntu をはじめ、大半の Linux ディストリビューションは、SELinux を「適切にサポート」しているという。

Mayer 氏は、「唯一の例外は（Novell の）SUSE Linux だけだ」と語っている。SUSE Linux は、SELinux の代わりに「AppArmor」と呼ばれるセキュリティ技術をサポートする。

同氏は、「SELinux はあまりに複雑だ、というのが Novell の基本的な主張だ。しかし、包括的なものにするにはどうしても基盤のインフラが必要で、使いやすさはあとから付いてくればよい、というアプローチを取った」と説明を加えた。

一方の Red Hat は、Red Hat Enterprise Linux（RHEL）4の Fedora Core から SELinux のサポートを開始した。Red Hat では、まもなく登場する RHEL 5で SELinux のサポートを拡大する見通しだ。

Fedora/Red Hat インプリメンテーションは、NSA の「厳格な」単独セキュリティポリシーの代わりとして、システムのほかのものは標準の DAC セキュリティ下で本来の動作をさせながら、特定のデーモン（特にミッションクリティカルな、あるいは特に攻撃の影響を受けやすいもの）をロックする「ターゲット型」ポリシーをサポートしている。

Brickwall スイートは、その最初のリリースで RHEL 4の SELinux インプリメンテーションをサポートしている。しかし Tresys は、Brickwall の今後のリリースでは RHEL 5と IPV6 の両方をサポートする計画だ。

Tresys はその一方で、来るべき Razor 製品では IBM の DB2 データベースおよび WebSphere ミドルウェアの両環境専用設計の SELinux 保護機能を投入する。

Mayer 氏は LinuxPlanet に対し、「DB2 と WebSphere はいずれも Java の J2EE で構築されている。これにより優れたセキュリティが実現されている」と語った。だがそれでも、攻撃者がファイアウォールを突破できればファイルシステムを攻撃したり、ApacheWeb サーバーを破壊できるようになる可能性があると、同氏は主張した。

Mayer 氏は、「基本的には、アプリケーションの周囲にファイアウォールを構築している。それぞれのまわりにサンドボックスができる」と語っている。

IBM と Tresys は、まだ Razor のパッケージングを決定するには至っていない。同氏は、「だがおそらくは、RHEL で DB2 および WebSphere を運用する（IBM の）顧客向けの『付加価値』機能としてソフトウェアに搭載されるだろう」と語っている。

Brickwall は Tresys 初の市販製品となるものだが、Mayer 氏と Craig Sutherland 氏によって同社が設立されたのは7年前にさかのぼる。Sutherland 氏は現在、Tresys の最高経営責任者（CEO）を努めている。Mayer 氏と Sutherland 氏は SAIC で同僚だった。

Brickwall や、これから登場する Razor などの市販製品以外でも、Tresys は、いずれも SELinux 関連の複数のオープンソースプロジェクトを支援している。SELinux Reference Policy、Policy Management Server、および Certifiable Linux Integration Platform（CLIP）などのプロジェクトがある。

一方、Tresys では組み込みデバイス用強化セキュリティ関連で OEM 各社との提携を開始している。Mayer 氏によると、「航空電子工学コントロールシステムの開発中にセキュリティを強化したくなることなどがある」という。ほかにメリットのあるアプライアンスの種類としては、DNS サーバーや金融情報監視システムなどがあると、同氏は説明している。

Tresys では、同社が毎年開催し、今年は3月12日から16日までボルティモアで開催している Security Enhanced Linux Symposium で、SELinux 関連のオープンソースプロジェクトなど、各種活動を詳細に説明する予定だ。

Tresys、IBM、Red Hat、および NSA によるプレゼンテーションを皮切りに、同イベントは技術プレゼンテーションが2日間、オプションのチュートリアルが2日間開催される。Tresys は2007年の同シンポジウムに、招待客限定の開発者向けコースを追加している。Mayer 氏は LinuxPlanet に対し、「ユーザーへの対応にも一段と力を入れていく」と語っている。

1月16日から無償ダウンロード可能となっている「Brickwall Standard Edition」の最初のバージョンは、ローカルシステム管理用の GUI、標準的な RHEL ターゲット、ネットワークセキュリティコンフィギュレーション拡張機能、オプションの SELinux Boolean 管理、そしてセキュリティコンフィギュレーションを元の設定に戻すロールバック機能を提供する。

同スイートの「Professional Edition」の価格はライセンスあたり249ドルで、ターゲットのファイルシステムアクセスを修正する機能や、新しいカスタムターゲットを作成する機能のほか、標準的な RHEL のターゲット以外もターゲットに入れる。

同製品の「Enterprise Edition」は、ネットワークを全体での複数セキュリティシステムの一元管理、セキュリティコンフィギュレーションのグループへの適用、そしてリモート監視/管理をサポートする。

Tresys Brickwall Enterprise Edition の価格は、最初の10ライセンスまでが4999ドル、追加10ライセンスごとに3750ドルとなっている。