ロシア製の「Kaspersky OS」はセキュリティ重視も西側での普及は見通せず：リアルタイムOS列伝（54）（1/3 ページ）

IoT（モノのインターネット）市場が拡大する中で、エッジ側の機器制御で重要な役割を果たすことが期待されているリアルタイムOS（RTOS）について解説する本連載。第54回は、ロシア発のセキュリティベンダーとして知られるカスペルスキーが開発した「Kaspersky OS」を紹介する。

[大原雄介，MONOist]

　今回ご紹介するのはKaspersky OS。名前の通り、セキュリティソリューションのKasperskyが提供するOSである（図1）。もともとKaspersky（カスペルスキー、正式名称はKaspersky Lab ZAO）は1997年にロシアで創業した企業であり、セキュリティソフトウェアの開発と販売がメインとなる企業である。2004年3月には日本支社も立ち上がっており、ウクライナ戦争勃発以降は色々と風当たりが強くなっているものの、現在も営業中である。まぁKaspersky Anti-Virusをロシア企業の製品と知らずに使っているユーザーも少なくはないだろうとは思うが。

図1　「Kaspersky OS」のWebサイト［クリックでWebサイトへ移動］

⇒連載「リアルタイムOS列伝」バックナンバー

「既存のOSは重要インフラ向けのセキュリティが十分ではない」

　さてそんなKaspersky、日本の法人向けソリューションや個人向けソリューションには一切出てこないのだが、ロシア本国の方ではOSの提供も行っている。今回ご紹介するのは、このKasperskyが提供するOSである。余談だが、なぜかKasperskyにはこのKaspersky OSのWebサイトが2種類ある。冒頭で紹介した図1のWebサイトで、もう一つがこちらのWebサイトである（図2）。なぜこれらが統一されていないのかは謎である。

図2　「Kaspersky OS」のもう一つのWebサイト［クリックでWebサイトへ移動］

　さて、Kaspersky OSはKasperskyによってスクラッチから開発されたマイクロカーネルベースのOSである。APIとしてはPOSIXを採用しているが、カーネルそのものはLinuxを含む既存のいずれのOSも利用していないとの話だ。開発が始まったのは2002年11月11日のことで、この開発開始の日付に因んで当初はKaspersky OS 11-11と呼ばれていたらしい。ちなみに開発直前にこんな記事（ロシア語、Google Translateによる英語版はこちら）が上がっており、なぜKasperskyがOSを手掛けることを考えているのかの説明が行われている。要するに「既存のOSでは社会インフラなど重要なシステム向けのセキュリティが十分ではない」と同社は考えていた。

　そういう動機で開発がスタートしたわけなので、OSそのものも当然セキュリティが核になっている。ベースになったのはMLIS（Multiple Independent Levels of Security）の考え方と、FLASK（Flux Advanced Security Kernel）である。MLISはもう名前の通り、複数の独立したセキュリティレイヤーを重ねることで防御力を高める仕組みであるが、FLASKの方はちょっと説明が必要だろう。

　1992〜1993年にかけ、NSA（米国国家安全保障局）とSCC（Secure Computing Corporation、1984年にHoneywellのSCTC／Secure Computing Technology Centerとして発足し、その後子会社化され、1995年に独立企業としてスピンオフ。2008年にMcAfeeに買収された）が共同で行ったDTMach（Distributed Trusted Mach）と呼ばれた取り組みがあった。Machの名前からも分かるように、これはMachカーネルをベースとしたものだが、これはその前に行われていたTMach（Trusted Mach）とLOCK（LOgical Coprocessing Kernel）プロジェクトを継承する形のものであった。

　このDTMachはその後、DTOS（Distributed Trusted Operating System）に形を変えて継続され、最終的にユタ大学のFlux OSプロジェクトで利用されることになった。DTOSからFlux OSに移植が行われる際に、動的なセキュリティアーキテクチャが追加されることになったが、これがFLASKの原型である。ユタ大は最終的にFlux OS Toolkitとしてこの成果物をリリースするが、このOS Toolkit（当初はOSKitなどとも呼ばれていた）に採用されていたFLASKの考え方を、Kaspersky OSも採用することになる。実際、同じマイクロカーネル上の実装ということで、原理的にそう難しいわけではなかったようだ。ただ念のために書いておくと、別にKaspersky OSはMachカーネルを利用しているわけではない。同様にFLASKを採用したものとして、NSAが提供しているSELinux（Security-Enhanced Linux）がある。