特集 Fedora vs. Vista セキュリティ全 ▼ドライブの暗号化 dm-crypt ▼アクセス制御 SELinux ▼ファイアウオール netfilter ▼バッファ・オーバーフロー防止 Exec-Shield 概要 重要性を増すOSのセキュリティ機能… …p. 28 アクセス制御 手間をかければ Fedora が有利…………p. 29 26 2007.7 Nikkei Linux Fedora vs. Vista セキュリティ全面対決 Windows Vista サーバー分野に加えて,クライアント分野でも Linux が広まりつつあります。最近は,クライアン ト OS のセキュリティ機能がますます重要になり, Windows Vistaにおいても大幅に強化されまし た。それでは一体,Fedora Core 6とWindows Vista ではどちらのセキュリティ機能が優れるので しょう?—— FedoraとVista のセキュリティ機能を,ジャン ルごとに徹底比較します。Fedoraについては,使 い方も紹介します。 ▼アクセス制御 UAC ▼ドライブの暗号化 BitLocker ▼ファイアウオール Windowsファイアウォール ▼バッファ・オーバーフロー防止 DEP ドライブの暗号化 Windowsに一日の長あり… ……………p. 38 バッファ・オーバーフロー防止 /ファイアウオール 不正侵入対策は互角… …………………p. 44 Nikkei Linux 2007.7 27 Linux Special 1 1 ▲ 面対決 セキュリティ ▲ ▲ クライアント OS 特集 Part 1 概要 重要性を増す OS のセキュリティ機能 OS のセキュリティ機能が,かつてないほど注目を集めています。企業における個人情報保護法や内部統 制への対応はもとより,情報漏えいの脅威は個人利用のパソコンにも及んでいます。Fedora と Vista の比 較に先駆けて,OS のセキュリティ機能の最新動向を説明します。 オペレーティング・システム(OS) , アクセス制御でゼロデイ攻撃に対処 しい手順を踏まずにはデータを読み 特にクライアント OS のセキュリティ 最近の 攻撃手法のトレンドの 1 つ 出せないようにします。この対策を 機能の重要性が高まっています。ネ は, 「ゼロデイ攻撃」です。プログラム 施しておけば,パソコンの紛失による ット接続を前提にしたパソコンの利 のセキュリティ・ホールや新種のウイ 情報漏えいなどが防げます。 用が,個人や企業を問わず当たり前 ルスを利用して,修正パッチやウイル になっており,ウイルスや悪意を持っ ス定義ファイルなどが提供される前 不正侵入の防止 た第三者によるシステム破壊や情報 に攻撃する方法です。 最後が, 「バッファ・オーバーフロー 漏えいの脅威が増大しているためで ゼロデイ攻撃に有用なセキュリティ 防止」や「ファイアウオール」といった す。こうした動向を反映し,クライア 対策として 機能強化が 盛んなのが, 不正侵入対策です。 ント OS の 主流である Windows の 最 「アクセス制御」です。アクセス制御 前者は,プログラムの欠陥であるバ 新版「Windows Vista」では,セキュ では,主にファイルやディレクトリな ッファ・オーバーフローを突いた攻撃 リティ機能が大幅に強化されました。 どに対してアクセス権限を設定しま を防ぐために,メモリー領域を監視 最近では,Linux をクライアント OS す。管理者であっても,自由にアクセ したり,データの格納方法をランダム にする事例が増えつつあります。ク スできない制限を加えます。不正侵 化したりします。後者は,外部から ライアント OS としては,まだまだマ 入によりプログラムを乗っ取られたと の不正侵入や被害拡散を防ぐために, イナーな存在ですが,今後の普及拡 しても,そのプログラムがアクセスで ネットワークを流れるデータを監視し 大を見据えると,そのセキュリティ機 きるファイルやディレクトリ以外への ます。 能 が 今 ま で 以 上 に 問 わ れ ま す。 被害拡大を防げます。 これらの4つのセキュリティ機能は, Fedora と Vista のいずれにも 実装さ 「Linux 向けのウイルスは極めて少な い」というだけでは,利用者は納得し 情報の取り出しを暗号化でガード れています(表 1)。Part 2 以降で,具 ないでしょう。 次に有用な対策が「ドライブの暗号 体的な機能や仕組み,使い方などを そこで,Vista を試金石にして,ク 化」です。ハード・ディスクにデータを 比較します。 ライアントで広く利用されている「Fe 書き込む際に暗号化することで,正 (セキュア OS ユーザ会 唯我 秀明) dora Core 6」のセキュリティ機能を検 証 し ま す。Part 1 で は ま ず,Fedora と Vista の 両方ともが 備える,OS レ ベルの 4 種類のセキュリティ機能の概 要を解説します。 28 2007.7 Nikkei Linux 表 1 Fedora Core 6 と Windows Vista が標準で備える主なセキュリティ機能 アクセス制御 ドライブの暗号化 バッファ・オーバーフロー防止 ファイアウオール Fedora Core 6 SELinux,など dm-crypt Exec-Shield,など netfilter Windows Vista UAC,Integrity レベル,など BitLocker,EFS DEP Windows ファイアウォール Fedora vs. Vista セキュリティ全面対決 1 アクセス制御 手間をかければ Fedora が有利 Fedora Core 6 と Windows Vista はいずれも,ファイルやディレクトリなどへのアクセスを制限できる 「アクセス制御」機能を備えています。違いは,制御の仕組みや設定の細やかさ。手間を惜しまなければ, Fedora の方が高機能です。 Fedora Core 6 と Windows Vista は 最大の弱点は管理者権限であると言 要な場合があり,多くのユーザーに管 いずれも,アクセス制御機能を備えて えます。 理者権限を与えることで悪用される います。アクセス制御は,ファイルや この DAC の弱点に対して,管理者 可能性が 高まる 問題がありました。 ディレクトリなどにアクセスできる権 権限を持つユーザーやプロセスにも, Vista も基本的には同じ状況ですが, 限を設定しておくことで,不正侵入 アクセス制御を徹底させようとする 今から紹介するさまざまな新機能に 発生時などのシステムの被害を最小 のが MAC です。MAC では,所有者 よって,管理者権限などが悪用され 限に抑える機能です。 であってもファイルやディレクトリに にくいように改善されています。 DACとMAC 対するアクセス権限を変更できませ ん。さらに,管理者であってもあら (1)UAC Fedora と Vista の アクセス 制 御 機 かじめ決められたルール(セキュリテ Vista のアクセス制御で真っ先に目 能を 説明する 前に, 「DAC」 (任意ア ィ・ポリシー)に従ってアクセスを制 に留まるのが, 「UAC」 (User Access クセス制御)と「MAC」 (強制アクセ 限されます。このため,仮に管理者 Control)です。UAC を 利用すると, ス制御)について,説明します。 権限を奪われても,被害がシステム全 管理者権限を持っていても,その権 DAC とは,ファイルやディレクトリ 体に及ぶことを防げます。 限を利用する際はダイアログによる などの所有者(owner)が,そのファ イルやディレクトリに対するアクセス Vistaのアクセス制御機能 権限を設定できるアクセス制御です。 Vista のアクセス制御は,これまで 古くからいろいろな OS に実装されて の Windows と 同 様,DAC の み が 実 います。 装されています。 DAC では,管理者権限は非常に強 Windows の DAC は,Vista 以 前 か 力です。 管理者権限を持つユーザーは, ら UNIX 系 OS の DAC よ り 細 か い ア すべてのファイルやディレクトリの所 クセス制御が可能で,非常に優れて 有者を変更できるなど,まるで“神” います。Vista の DAC は, 一 般 的 な のような存在です。管理者権限が強 ファイルやディレクトリに対して,13 力であることは,システムの運用管理 種類ものアクセスに関する制御(図1) には 非常に 便利ですが,その 半面, が可能です。 悪用されると被害がシステム全体に しかし,従来の Windows では,さ 及んでしまいます。従って,DAC の まざまな操作の中で管理者権限が必 確認を強いられます。 例えば,コントロールパネルの「ユ ーザー アカウントと家族のための安 1. フォルダのスキャンとファイルの実行 2. フォルダの一覧 / データの読み取り 3. 属性の読み取り 4. 拡張属性の読み取り 5. ファイルの作成 / データの書き込み 6. フォルダの作成 / データの追加 7. 属性の書き込み 8. 拡張属性の書き込み 9. サブフォルダとファイルの削除 10. 削除 11. アクセス許可の読み取り 12. アクセス許可の変更 13. 所有権の取得 図 1 Windows Vista で提供されている 13 種類のアクセス制御 Nikkei Linux 2007.7 29 Linux Special 1 Part 2 特集
© Copyright 2024 Paperzz