Sun、NSA のセキュリティ技術を『Solaris』に統合へ

この記事のURLhttp://japan.internet.com/webtech/20080317/12.html

さかのぼること2004年、米国家安全保障局 (NSA) は、『Linux』コミュニティがセキュリティ強化版 Linux カーネル『Security Enhanced Linux』(SELinux) を構築するのを支援した。SELinux は、Linux カーネルに強制アクセス制御 (MAC) ポリシーをもたらすものだ。

それから4年後、その NSA の同じ技術を、今度は Sun Microsystems が自社の OS『Solaris』に取り入れようとしている。Sun の『OpenSolaris』コミュニティが、アクセス制御方式「Type Enforcement」(TE) を実装するため、NSA の『Flux Advanced Security Kernel』(Flask) アーキテクチャを統合することに取り組む計画だ。Flask アーキテクチャは、MAC の一形態であり、SELinux の基礎をなしている。

Flask は、Sun の『Trusted Extensions』に統合される予定だ。Trusted Extensions は、『Solaris 10』のセキュリティ ポリシーに対する拡張機能で、規制当局やコンプライアンスの要求を満たすための、高セキュリティのラベリング機能を Solaris に提供する。

Flask/SELinux の TE アクセス制御方式と Trusted Extensions のラベリング方式の間には、セキュリティ ポリシーの実施および管理方法に関して、重要な差異がある。NSA の技術は、セキュリティを保証する高度なポリシーや制御を必要とする米政府機関顧客にとって不可欠なものだ。

「Trusted Extensions におけるラベリングは、アプリケーションを区別して多層の保護プロフィールを適用することにより、同一 OS 内でアプリケーションを分離する。一方、Flask のモデルでは、同一 OS 内の同一インスタンスにおける異なるレベルで複数のアプリケーションを実行する」と、Sun Microsystems Federal の社長兼 COO (最高業務責任者) を務める Bill Vass 氏は、取材に対し述べている。

Sun は、一種のパブリック ドメイン ライセンスと Vass 氏が説明するものの下で、Flask の TE アクセス制御方式を利用できることになった。また Sun は、OpenSolaris に統合した技術を、オープンソース ライセンス『Common Development and Distribution License』(CDDL) の下で再ライセンスする予定だ。

Vass 氏によると、初期段階でユーザーは、Flask と (従来の Trusted Extensions の) ラベリングを同時にではなく、どちらか一方のみを使用できるという。将来的には、NSA から引き続き支援を受け、OpenSolaris コミュニティ内で、両方式の同時使用実現に取り組む計画だ。