投稿日:

頑張れニッポン

この度発表された「セキュア・ジャパン 2006」計画の中に「次世代OS基盤環境」(以下、セキュア VM)という項目がある。 筆者、この開発計画に大きな期待を寄せるものであり、 今回は、このセキュア VM がどのようなものになるのか、 推測と願望を交えて紹介したい。

セキュア VM の概要

「高セキュリティ機能を実現する次世代 OS 環境の開発」 2006 年度において、IT の信頼性確保のための喫緊な取組みとして、 OS においてアプリケーションに依存しない形でセキュリティを確保し、 かつ、 電子政府で直近に求められる基盤機能に絞り込んだ技術基盤の開発を推進する。
(セキュア・ジャパン 2006 (案) 情報政策会議より引用)

資料によればこのセキュア VM とは、VM(*1)として提供される。 通常、コンピュータでは、ハードウェアとアプリケーションの間に OS(*2) が入り、 各種デバイス(キーボード、マウス、ディスクドライブ等)とのデータのやり取りを管理する。 ハードウェアの制御には多種多様な方式があり、 アプリケーションが直接制御するとなると、 アプリケーションの開発者が、その制御方法を熟知しなければならない。 OS はハードウェアの違いを吸収し、 定型化された制御インターフェースをアプリケーションに提供することで、 アプリケーションの開発労力を低減する役目を担っている。

*1 VM – Virtual Machine、仮想機械
*2 OS – Operating System、オペレーティングシステム

セキュア VM とは、 OS を支援するかたちで、 OS に不足していると思われるセキュリティ機能を提供しようという発想に基づいていると思われる。 以下に示すように、ハードウェアと OS に挟まれるように位置し、 OS に対しては、あたかもハードウェアの一部であるかのように認識させることで、 特定の OS だけでなく、広く様々な OS に対応することも計画の一つとして挙げられている。

アプリケーション(ブラウザ、ワードプロセッサ、表計算、ゲーム等)
OS (Windows XP, Linux, Mac OS X, OpenBSD 等)
セキュア VM
ハードウェア (キーボード、マウス、ディスクドライブ等)

日々、重要な情報はコンピュータに蓄積されつづけ(情報漏洩したら大変)、 電子メールを悪用した詐欺は横行し(情報が信用できない)、 インターネットは生活に欠くことのできない位置を占めている(コンピュータが使えなくなったらどうしよう)。 このように、コンピュータの重要性は高まるばかりであるのに、 OS やアプリケーションの脆弱性は一向に無くなることもない。 安全か安全でないのか、そこのところを某 IT 企業に首ねっこを押さえられているわけである。

それでは、情報漏洩を察知したり、情報を暗号化したり、 電子メールの信頼性を検証したりする機能を、OS に頼らずに実装すれば良い、 これがセキュア VM である。 OS の問題に左右されないように、OS よりもハードウェアに近いところに位置するのである。 ネットワークに情報が流れる時、 ハードディスク等から情報が読み込まれる時、 電子メールを受信する時、 データの最後の出口はハードウェアなのだから、 その前に門番を立ててデータを調べようということである。 同じような機能は OS 上のアプリケーションとしての実装も可能であるが、 いろいろな OS (及び OS バージョン)をサポートしようと思うと、 OS の仕様に依存することになり、仕様変更、追加に対する追従が大変な作業となる。

某 IT 企業がセキュア VM の計画を聞いて、 「そんなに私達が信用できんのか!!」と怒ったかどうかはわからないが、 某 OS そのものに手や口が出せない日本国民としては、 このような形にせざるを得ないという、そういうことも背景にあるのだと考える。

セキュア VM の効果と懸念

さて、セキュア VM の効果はどのようなものになるのだろうか。

  • 通信を監視すること及び VPN 機能を提供することでネットワーク経由での不正アクセス及び情報流出を検出、予防
  • 外部記憶装置上のファイルを暗号化することで PC の不正持ち出しによる情報流出を予防
  • これらのセキュア機能の下支えとしてユーザ(ID)管理を行う

    現在、提示されている資料では、この三つの機能 (セキュアネットワーク管理、セキュアファイル管理、セキュア ID 管理) が示されている。 主に情報の Confidentiality (機密)、Integrity(完全性)に関わる機能である。 このところ、公的機関における情報流出事件が頻発しており、 セキュア VM が果す役割は大きいと期待される。

    さて、OS に不足しているセキュリティ機能を提供するということは結構なことだが、 何か問題はないだろうか。

    (1) ハードウェアを仮想化するという技術は新しいものではない。 しかし、一般的にいって性能面でのデメリット(処理が遅い)が大きく、 特殊な環境では重宝されているものの日常的に使うことには向いていなかった。 ところが、最近のことであるが、Intel、AMD といった、 われわれが使っているプロセッサにハードウェア仮想化支援技術が組込まれるという方向性が示された。 この技術を利用すれば性能面でのデメリットを極力抑えることが可能となる。 とはいうものの、情報流出の検出や、暗号機能の提供といった機能の実行は、 利用者にとっては性能低下に思われる可能性が高い。
    性能低下を回避するため、ある程度は OS (Windows、Linux) に依存することになるだろう。 公的機関では、まだまだ古い Windows を使っていることがある。 Windows 2000、Windows Me などへの対応も考慮していただきたい。

    (2) 生物が生き残っていくためには多様性が重要なファクターを持つ。 人類も、多くの人種があるからこそ、流行り病などによる絶滅を免れてきた。 セキュア VM は OS の持つ多様性を失わせる危険性を持っている。 セキュア VM を攻撃するウィルスが作成されれば、 どんな OS を使っていても一様に被害を受けることになる。 セキュア VM を安全かつ強固に設計することはもちろん、 脆弱性が発見された際の対策を、どのようにして確実に行うべきか、これからの研究に期待する。

    (3) あくまでも私見だが、日本政府の肝煎りの研究開発となると、 あれやこれやと盛りこんで過剰な仕様になりがちではないだろうか。 セキュア VM は実効性が全てである。 機能は必要なものだけとし、Simple is the Best を目指していただきたい。

    (4) セキュア VM は科学技術振興調整費に採択され、三年分の研究予算が確保できたらしい。 実際に配布されるのは三年目以降になりそうだが、 研究終了後の保守体制をどうするのかについては、 現時点では決まっていないように思われる。 オープンソース化という話も聞くが、 オープンソースにしたから誰かが保守をしてくれるというものではないので、 力のある企業、もしくは政府が予算をつけて、きちんを保守を継続してもらいたい。

    日本の技術力への期待

    セキュリティ分野では日本で開発されたソフトウェアを見かけることが少ない。 セキュア VM はセキュリティ対策に大きな効果を発揮することが可能である。 いくつか懸念を述べたが、それは期待の裏返しである。 この計画は、日本がソフトウェア開発、セキュリティ技術において、 高い技術力を持っていることを世界にアピールするまたとない機会である。 関与する研究者のみなさまの尽力に注目しよう。