ミッションクリティカル領域で利用できるOSとは? セキュリティを勘案して選定を! 【JapanSecuritySummit 2024 サイバートラストセッションレポート】
一般的にOSを選定する際は、何か意識してOSを選定するというよりも、誰もが使っているものであったり、ミドルウェアの動作が保証されているものであったり、SIerから提案されたものを使ったりしているケースが多いだろう。しかしセキュリティ面を考慮すると、選定するOSをしっかり吟味したほうがよい。サイバートラスト フィールドマーケティング部の堤 祐樹 氏が、セキュリティを考慮した場合の注意点と、それらを解決できるOSの選び方について詳しく解説した。
システムで利用されているOSとは?
いまITシステムのサーバーで利用されているOSと言えば、Windows系が25%、Linux系が63%、そのほか商用Unixなどという割合になっている。ここで分かることは、やはりLinux系が多く使われていることだ。もちろんセキュリティ面からいえば、OSをしっかり意識して選択したほうが良いだろう。というのも、もしOSのサポートが切れた場合(EoL後)に使い続けると、脆弱性の温床になり、サイバー攻撃の標的になりやすいからだ。またソフトウェア部品表のSBOMを利用して脆弱性管理を行う際にも、OSのSBOMがないと適切な管理ができなくなる。オープンソースを使う際には、何かトラブルがあったときに誰が責任を負うのか、責任分界点が明確でないため、エンドユーザーとして意識しておく必要があるだろう。
同社でもLinuxディストリビューションを提供しているため、ここからはLinuxの基礎知識を簡単にまとめ、選定時の注意点を取り上げてみよう。 本誌の読者にとっては釈迦に説法だろうが、まずLinuxディストリビューションとは「OSのコアとなるLinuxカーネルと、さまざまなアプリケーションをひとまとめにしたもの」だ。有償・無償を問わず、多い場合は数千ものパッケージを自由に組み合わせられるため、多様なディストリビューションが存在している。有名どころとしては「Debian(Ubuntu)系」と「Fedora(RHEL)系」が挙げられる。ちなみにサイバートラストは後述するFedora系のOSを提供している。
自由にパッケージを組みあわせられて、無償で使える特長を持つLinuxの利用範囲は幅広い。たとえば、IoTや家電、自動車、インフラなどのライフシーンから、WebサーバーやDBサーバーなどのITでのシーン、産業機器・医療機器・レジの制御OSなどのビジネスシーンまで多岐にわたっている。このような状況のなかで、やはりLinuxを意識して使っていく必要があるということだ。実際にグローバルの自動車業界や産業ロボットなど、各業界で多くのガイドラインが策定されている。
一方、日本国内でも同様に国や各団体からさまざまなガイドランが策定されている。特に重要インフラ14分野や、それに準ずる業界では、総務省や経産省といった各省庁や、IPAやNISCのような団体が横串で策定しているものもある。
いずれにしてもガイドラインのなかでは、OSについて触れられているものが多い。そこで、ここからIT向けのOSに求められる具体的な要件などについて解説したい。
IT向けOSに求められるガイドラインの要件と、それらに対応する各Linux OSの比較
IT向けのOSに求められる要件を抜粋すると、重要インフラ全般に強弱はあるものの、概ね以下のようなことがガイドラインに明記されていることが分かる。
まずはOSの脆弱性を把握し、セキュリティパッチを当てて適切な管理をすること。そのパッチを当てるための保守体制を整備すること。EoL後のOSは危ないので使わないこと。パスワードポリシー(解読されないパスワード)やログ管理、ネットワーク設定(不用意にポートを開けない)など、OSの適切な設定を行うこと。不用意なアプリをインストールしないこと、などが挙げられる。 では、こういった中でどんなOSを選べばよいのだろうか? ITシステムで利用される各Linuxの特徴についてみていくと以下のようになる。
基本的な違いは、ベースとなるOSや開発コミュニティにある。たとえばユーザーの多いRHELは、FedoraやCentOS Streamがベースになっている。一方、UbuntuはDebianベースだ。このベースOSが異なると、config設定まわりやアプリのインストールなどが変わってくる。サポートベンダーも異なり、RHELであればIBM(旧Red Hat系)など、UbuntuならばCanonicalなどが主体になっている。またAlmaLinuxやRocky Linuxについては企業でなく、財団(ファウンデーション)が管理し、サポートについてはサイバートラストのような多くのベンダーが対応している。
主な特徴としては、RHELはコンテナ管理システムなどの有償サービスを多く提供している。AlmaLinuxはRHELとは競合ぜずに互換を保つスタンスで、脆弱性への対応が速い。Rocky Linuxはクラウド系などで利用されているが、開発しているCIQ社がOpenELAという別財団にも関係しているため、今後の動向に注視したい。UbuntuはAIやビッグデータの対応について先行しており、多くの派生OSが存在している。
Linuxの開発の流れを見ると、たとえば多くの企業が採用しているAlmaLinuxは、前出のように財団が開発・運営を仕切っており、そのコミュニティメンバーが具体的な開発を進め、さらにサポート企業が付加価値を出して提供している。このAlmaLinuxは多くの企業からスポンサードされており、特にセキュリティ面を重視。FIPS 140-3やNIST SP800-171、PCI-DSS、CIS(Center for Internet Security)ベンチマーク、STIG(Security Technical Implementation Guides)などのガイドラインに対応している。
サイバートラストでは、AlmaLinuxに販売しているが、たとえば設定に関する日本語サポートの窓口を設置したり、長期利用をご希望のユーザーにも対応している。
ITとはセキュリティ優先度が異なるOT、各国のガイドラインの動向にも注意
LinuxはIT系のサーバーのみならず、OT系のスマートデバイスやIoT機器などにも採用されている。実際にIoT機器ではLinuxが43%を占めており、より高度な処理やセキュリティ対策を講じたOSのニーズが高まっている。そもそもITとOTでは設計思想が異なるし、セキュリティに対する優先度も違うのだが、OT系でLinuxが採用されている理由は、昨今のOTがインターネットにつながるようになり、その仕組みや分析のしやすさなどからLinuxが増えているという背景があるようだ。
とはいえ、IT系とOT系では設計思想が異なっている。IT系がデータの保護や保全を重視する「CIA」(機密性:Confidentiality、完全性:Integrity、可用性:Availability)の順番であるのに対して、OT系は運用の継続性を重視する「AIC」という優先度になっている。OT系はオペレーションが止まれば製造が中断し、経済的な被害が甚大になるからだ。そこで悪意あるAPTグループのような国家ぐるみの攻撃者がアタックをかけてくるわけだ。OT系は365日24時間稼働しており、パッチが当たっておらず対策が甘い機器も多いため狙われやすいし、それ故に身代金も取りやすく、攻撃者にとっては費用対効果が高いのだ。
そういう状況のなかで、やはりOT系も可用性だけではなく、IT系と同様に機密性や完全性にも目を向けなければいけないという意識が出始めており、いま各国の各業界でもさまざまな法規制が進んでいる。以下に欧米英および日本における主なセキュリティ法規制を示す。
たとえば、欧州では「Cyber Resilience ACT」(CRA:サイバーレジリエンス法)、米国では「Cyber Trust Mark」(NIST SP800-213/NIST IR 8259)が年内にも開始され、日本でも「IoTセキュリティ適合性評価制度」(EN303 645相当)がスタートする。人の命に関わるような業界については、各国とも同等レベルのセキュリティ規制になっているが、特に欧州のCRAは最も厳しい規制になっており罰金も課せられる。EU機内に製品を輸出する国に対して影響を及ぼすため、その動向を注視する必要があるだろう。
最後に、こういった動きに対して、製造業の事業継続性をサポートするサイバートラストのソリューションについて簡単に触れておこう。
同社では、組込み/IoT向けLinuxディストリビューションとして「EMLinux」を販売している。その特徴はAlmaLinuxと同様に、超長期にわたる脆弱性への対応ができるようにメンテンンスサポートを行っていることだ。また脆弱性を管理するためのSBOM生成・出力機能やCVE(脆弱性)検査機能も備えている。そしてカスタム開発部分についても十分なメンテナンスサポートを提供している。
同社では、今後も各Linuxコミュニティや団体、企業と連携しつつ、最新機能を随時更新しながら、ITにもOTにも適したOSを提供し続けていく予定のようだ。もし何かOSの問題でお困り事があれば、サイバートラストにお声がけいただきたいとしている。
