独立行政法人 産業技術総合研究所【理事長 野間口 有】(以下「産総研」という)情報技術研究部門【研究部門長 伊藤 智】サービスウェア研究グループ【研究グループ長 小島 功】 中村 章人 主任研究員は、コンピューターのセキュリティー検査を支援するソフトウエアSIX OVALを開発し、米国政府やセキュリティー業界が推進している標準規格(OVAL)への準拠が米国標準団体により認定された。
SIX OVALは、組織内にある多数のコンピューターのセキュリティー状況をオペレーティング・システムの種類にかかわらず一元的に管理可能とするソフトウエアである。複数台のコンピューターへのセキュリティー検査項目の配信と検査結果の収集を自動化して一極集中管理し、セキュリティー検査の正確性と効率性を高める。業界標準のセキュリティー検査言語OVALでデータを記述するため、他のソフトウエアやデータベースとのデータの共有や相互接続が可能である。
OVAL準拠のソフトウエアは他にもあるが、コンピューター1台ごとに手動でソフトウエアを起動して検査を実施するものが多く、検査結果の収集も手動で行わねばならず、作業コストが問題であった。複数台をまとめて管理できるようなソフトウエアも存在するが、高価な商用のものが多い。また、一部の機能を取り出して他のソフトウエアに組み込んで再利用することができない。SIX OVALは、これらの問題を解決したはじめての無償のオープンソース・ソフトウエアである。
本ソフトウエアは下記ホームページで提供している。標準準拠によるセキュリティー検査ソフトウエアの普及を促進することで、セキュリティー対策の負荷軽減に貢献したい。( http://staff.aist.go.jp/nakamura-akihito/six/oval/index.html )
 |
|
図1 本ソフトウエアを使ったセキュリティー検査の過程 |
近年、サイバー攻撃は多くの組織・個人が直面する最も重大な脅威の一つであり、セキュリティーの重要性が社会的に認識されている。セキュリティー対策として重要な方策の一つがソフトウエアの脆弱性を検出することとその解消である。多くの場合、攻撃者は脆弱性を悪用してコンピューターシステムを攻撃する。攻撃に対応するために、各種研究機関や企業が公開する膨大な脆弱性情報の収集・分析と、各コンピューターを検査して脆弱性の有無や深刻さなどのセキュリティー状況を正確に把握する必要があるが、手間と専門知識を要する。そのため、状況の検査から対策の実施までの一連の作業を省力化・効率化することが望まれている。
しかし、これまでセキュリティー検査の標準的な手法が普及しておらず、企業固有の技術による独自手法や個々のオペレーティング・システム専用のソフトウエアに依存していた。多数のコンピューターを一元的に管理するには、セキュリティー検査方法や検査結果の記述方法および検査手順などに、標準化と相互運用性が必要とされる。このような背景の下、セキュリティー検査項目と検査結果を記述するOVAL言語の仕様が策定された。OVAL言語に基づいて、実際にどう検査を自動化していかに効率的に検査するか、検査結果をどのようにシステム管理者や他のソフトウエアに受け渡すかが、セキュリティー検査ソフトウエアの課題となっている。
セキュリティー上の弱点を効率よく漏れなく正確に把握できれば、サイバー攻撃に対する警戒の範囲を迅速に絞り込むことが可能になり、効果的な予防策をとりやすくなる。その結果、ネットワーク犯罪やプライバシー侵害などの事件・事故を未然に防ぐことができるので、情報システムを安心して使えるようになる。
産総研は、異種のオペレーティング・システムが混在する環境でのセキュリティー管理方式の研究と、それを実現するソフトウエアおよびウェブサービスの開発に取り組んできた。多数のコンピューターのソフトウエア脆弱性を一元的に管理する手法を研究する中で、業界標準のセキュリティー検査言語OVALの利活用を着想し、本ソフトウエアの開発に至った。
本ソフトウエアは、多様なオペレーティング・システムが混在する環境でのセキュリティー検査を自動化・一元化することができる。システム管理者は、膨大なセキュリティー情報をウェブサイトから収集する手間や、各コンピューターにどういうソフトウエアがインストールされているかを調べてそれらに問題があるかどうかを確認する作業から解放される。
OVAL言語に基づくセキュリティー検査ソフトウエアはこれまでにも開発されているが、コンピューター1台ごとに手動でソフトウエアを起動して検査を実施するものが多く、検査結果の収集も手動で行わねばならず、作業コストが問題であった。複数台のコンピューターをまとめて検査できるようなソフトウエアも存在するが高価な商用のものしかなかった。本ソフトウエアは、複数台への検査項目の配信と検査結果の収集を自動化し一極集中管理するので、システム管理の作業効率を高めるとともに人的ミスを防ぐ。
また、これまでのセキュリティー管理ソフトウエアは一部の機能を取り出して他のソフトウエアに組み込んで再利用することができないという問題があった。本ソフトウエアのいくつかの機能は再利用可能な部品のかたちで提供し、他のソフトウエア開発者が自作のソフトウエアに自由に組み込めるにしている点が新しい。
【ソフトウエアの機能】
本ソフトウエア(SIX OVAL)は、OVAL言語を用いたセキュリティー検査を自動化するソフトウエアである。各種機能を部品化して提供することで、ソフトウエアの開発者が自分で開発するセキュリティー検査ソフトウエアやデータベースに組み込んで使うことができる。主な機能は以下の通り。
-
セキュリティー検査方法や検査結果を表現するデータ構造
-
データ構造に従って作られたデータをデータベースに格納し検索する機能
-
データをインターネット上で扱うための言語XMLに変換する機能
-
クラウド上にデータベースを配備したときに遠隔から簡単にデータを格納し検索する機能
【システム構成と動作】
SIX OVALを用いたセキュリティー検査システムの構成は下の図の通りである。主な構成要素は以下となる。
-
公開参照情報:
各種研究機関や標準化団体のサイトで公開されている脆弱性情報やOVAL言語で記述した検査方法定義の情報。セキュリティー管理者が手動で収集していたこれらの情報をセキュリティー管理サーバーが「基本参照情報」として自動収集する。
-
セキュリティー管理サーバー:
組織内のセキュリティー状況を管理するサーバー。検査方法定義、検査結果、分析レポートなどの情報をデータベースで管理する。本ソフトウエアのうち、これらの処理を担当する部分を「マネージャー」と呼ぶ。セキュリティー管理サーバーは、組織内に配置することもできるが、普及が進むクラウド上に配置すれば運用コストの削減や可用性・アクセス性の向上が期待できる。
-
管理対象コンピューター群:
セキュリティー状況を検査する対象。種類の異なるオペレーティング・システムでも対象となる。コンピューターのセキュリティー検査を定期的に実施し、結果をセキュリティー管理サーバーに送付する。本ソフトウエアのうち、これらの処理を担当する部分を「エージェント」と呼ぶ。
 |
|
図2 本ソフトウエアを使ったセキュリティー検査システムの構成と処理の流れ |
【実装】
SIX OVALはプログラミング言語にJavaを使用しているので、多くのオペレーティング・システム環境で動作する。現在サポートしている管理対象のオペレーティング・システムは、Linux、Mac OS、Solaris、Windowsである。
【標準規格への対応】
本ソフトウエアは、標準規格に基づいているため、他の研究機関や企業が提供するOVAL対応のデータベースやソフトウエアとの相互接続が可能である。
なお、標準団体による認定にあたっては、ソフトウエアが満たすべき要件が規定されており、それらをどのように満たしているかが審査される。具体的には、ソフトウエアの機能、規格のサポート範囲、ソフトウエアと標準規格との関係を記述した文書や技術資料、ソフトウエアを利用して問題が発生した際の対処方法などが審議され、本ソフトウエアはそれらの要件を満たしていると判断され、今回の認定に至った。
今後は、本ソフトウエアの改善とサポートを継続していく。また、本ソフトウエアを応用して、種々のセキュリティー管理作業を自動化し情報の共有と利活用を促進するセキュリティーの「見える化・省力化」を図るツールを開発・公開する予定である(2013年中を予定)。
本ソフトウエアの活用によりセキュリティー管理が省力化・効率化され、負荷の軽減に貢献することが期待される。
独立行政法人 産業技術総合研究所
情報技術研究部門 サービスウェア研究グループ
主任研究員 中村 章人 E-mail:nakamura-akihito*aist.go.jp(*を@に変更して送信下さい。)