ウインドリバー&マカフィー、Linux搭載機器のセキュリティ強化に本腰“コネクティビティ”は大きな脅威

ウインドリバーは、Linuxシステムにおけるセキュリティ対策の概要と、「非PCデバイスでのセキュリティ保護に関する戦略的合意」に基づくマカフィーとの協業に関する取り組みについて説明した。

» 2011年10月21日 19時31分 公開
[八木沢篤,@IT MONOist]

 ウインドリバーは2011年10月20日、「Linuxシステムにおけるセキュリティ対策」に関する説明会を開催。米Wind RiverのLinux担当 シニア・ディレクターであるグレン・サイラー(Glenn Seiler)氏が登壇し、2011〜2012年にかけて提供する組み込み機器向けセキュリティ対策技術と同社が目指す方向性について説明した。

 同社のセキュリティ戦略の中で、まず、記憶に新しいのが2月に発表されたマカフィーとの「非PCデバイスでのセキュリティ保護に関する戦略的合意」だ(報道資料)。2020年までに約500億台に達する(※マカフィー試算)と予測されるネットワーク対応デバイスの急増に対し、これらデバイスに向けたセキュリティ対策、中でも非PCデバイス(いわゆる組み込み機器)への対策は重要性が増している。これを受け、インテル傘下の両社は共同で、組み込み機器やモバイルデバイスといった非PCデバイス向けのセキュリティソリューションの開発・販売・サポートを行うという方針を固めたのだ。

 この戦略の中で、まず「Wind River Linux」とマカフィー製品の間で統合を図り、その後、ウインドリバーの他OSや組み込み仮想化技術との統合を進めていくことが示されている。今回の説明会では、こうした両社の取り組みの最新状況、Linuxシステム向けのセキュリティソリューションについて話を聞くことができた。

米Wind RiverのLinux担当 シニア・ディレクターであるグレン・サイラー(Glenn Seiler)氏 米Wind River Linux担当 シニア・ディレクター グレン・サイラー(Glenn Seiler)氏

 冒頭、グレン氏は「組み込み業界にとって、“コネクティビティ”は大きな脅威となっている。一般的にマルウェアなどは無差別にばらまかれ拡散するというものであったが、最近では特定機器のシステムだけを狙うようなもの(例えば、Stuxnet:独Siemensの産業用制御システムを攻撃するマルウェア)も出てきている。また、従業員が製造ラインにノートPCを持ち込んで、USBなどでデータの受け渡しをした際に、工場のシステム内にウイルスを混入してしまい、製造ラインを停止させてしまったという例もある」と、組み込み機器の接続性の向上に伴う、セキュリティのぜい弱性の急増に警鐘を鳴らす。

 前述の通り、昨今の組み込み機器は、高機能・多機能化により、ネットワーク機能を備えたものやUSBポートを備えるものが数多く存在する。また、一言で組み込み機器といっても、その用途(利用される市場分野)はコンシューマだけでなく、産業、医療、自動車、航空宇宙、軍事などさまざまだ。グレン氏は「多種多様なセグメントで活用されている組み込み機器の場合、“単一のソリューション”でセキュリティに関する問題を全て解決できるはずがない。その対象に合わせた幾つもの対策レベルを考えなければならない」と話す。

 同社は、広範な分野で活用されている組み込み機器のセキュリティ対策に関し、OS、ネットワーク、アプリケーションなどのあらゆる層で、適した対策を施す必要があるという考えの下、現在、大きく3つの製品/ソリューションを打ち出している。

組み込み機器のセキュリティ対策の考え 組み込み機器のセキュリティ対策の考え

 まず1つが、仮想化技術による安全性の確保だ。同社のリアルタイム組み込み仮想化技術「Wind River Hypervisor」により、マルチOS環境を構築し、OS同士を完全に分離する(OS間に“壁”を作る)ことで、一方のOSがダウンしても、もう一方に影響を与えないシステム、あるいは、あるアプリケーションが重要なデータを管理しているもう一方のOSに対し、不要なアクセスをするのを防ぐシステム作りが可能となる。

 もう1つは、OS自身の強化だ。同社は5月に、米国の国家情報保証連合による、コモンクライテリア認証の評価保証レベル4+を取得した組み込みLinux「Wind River Linux Secure」を発表している(報道資料)。SELinux(Security-Enhanced Linux)のポリシーに基づいたアクセスコントロールや、ランタイムプロテクション、ロギングなどにより、OSレベルでの安全性の確保を実現するという。

 そして、最後がアプリケーションレベルでの対策だ。同社は、マカフィーと協力し、Linuxに対するセキュリティの強化として、「ホワイトリスティング」「グレイリスティング」という仕組みを用意しているという。ホワイトリスティングは、あらかじめ信頼性の高いアプリケーションのみを実行させるというもの。このやり方であれば、全てのデバイスのライフサイクルの中で、アプリケーションが置き換えられたり、改変されたりということが防げる。もう一方のグレイリスティングは、ネットワーク上での情報のやりとりをリアルタイムで監視し、それら情報が本当に信頼のおけるものであるのかどうかを瞬時に判断する仕組みだ。

 「ウインドリバーとマカフィーは、スタティックなデバイス、例えばプリンタや医療機器などのデバイスに関してはホワイトリスティングで、常に情報をやりとりしているようなダイナミックなデバイス、例えば携帯電話や車載インフォテインメント機器などのデバイスに関しては、グレイリスティングでセキュリティを担保している」(グレン氏)。

ウインドリバーのセキュリティソリューション ウインドリバーのセキュリティソリューション

 今回の説明会は、Linuxシステムのセキュリティ対策に関するマカフィーとの取り組みが中心であったが、2月の戦略的合意の発表によると、今後も両社の協業は段階的に進められ、将来の同社製品(他OSなど)にマカフィー製品を搭載していく予定だという。

Copyright © ITmedia, Inc. All Rights Reserved.