NECソフトウェア東北NECソフトウエアは8月27日,PKI(公開鍵基盤)技術を利用してOSのセキュリティを強化するシステム「Secuve TOS(シキューブTOS)」を販売開始した。サーバーに対する不正なアクセスやシステム破壊,データの改ざんなどを防止するためのツールである。韓国のシキューブが開発した。セキュリティを強化できる対象となるOSは,Windows NT/2000,Linux,Solaris,hp ux,AIXなど。価格は52万円から。

 Secuve TOSは,米国国防総省によるコンピュータ・システムのセキュリティ評価基準書「TCSEC(通称オレンジブック)」が定める「TrustedOS(信頼されたOS)」に相当するセキュリティ機能を実現する。具体的には,PKI技術を基盤とするX.509証明書と連携した認証や認可の仕組みを備える。重要ファイルを暗号/復号して盗み見を防いだり,ディジタル署名を付加して改ざんを検出する機能もある。IDS(侵入検知システム)やファイアウォールの機能も搭載する。

 保護対象となるOSには,カーネル・モードで動作するモジュール「Secuve TOS Security Module」を組み込む。このモジュールは,X.509証明書による認証/認可,PKIベースの暗号/署名などの機能を持つ。ログインしたユーザーや不正侵入したユーザーに,自分の存在を知られないようにする仕組みも備えている。

 システム管理者やコンテンツ管理者などには,該当するX.509証明書をICカードやUSBキーに格納して携行させることで,それらをハードウエア・トークンとして利用できるようになる。システム状態を変えるような重要コマンドを実行するときには,ハードウエア・トークンが必要になる。例えば,ハードウエア・トークン無しでは,ファイルを作成/変更/削除したり,プロセスを生成/破棄することはできない。つまり,アクセス権限を切り替える,ディスクをマウント/アンマウントする,デーモンを終了させるなどの操作ができなくなる。

 Linuxには,例えば特定のディスク領域をあふれさせるなどの方法でカーネル・パニックに陥れれば,管理者権限などを乗っ取れるというぜい弱性がある。Secuve TOSを導入している場合には,カーネルがパニックに陥るとSecuve TOSによる認証/認可機能が無効になり,事前に暗号化しておいた重要データを復号することもできなくなる。このため,万一パニックに陥っても,その間に重要ファイルの内容を書き換えられるといった問題を避けられるという。なお,正規の管理者がリモート管理する場合には,X.509証明書に対応した専用の管理ツール(Telnet機能やFTP機能を持つ)を使用する必要がある。