Linuxセキュリティの多様な側面

ここ数日間見てきたように、 Linuxコミュニティではセキュリティに関して多くのことが進行中だ。 今回のセキュリティ連載記事では、 SELinux翻訳記事)、 AppArmor翻訳記事)、 Bastille翻訳記事)、 ディストリビューションをセキュアにするための各ベンダのセキュリティに関する取り組み を取り上げ、また 米国土安全保障省の「脆弱性の発見および修正のためのオープンソースのセキュリティ強化プロジェクト」の 進捗状況の考察翻訳記事) も行なった。 それでもまだまだLinuxコミュニティのセキュリティに関する動き全体から見れば、 これらは氷山の一角に過ぎないのだ。

多くのことが進行中とは言え、Linuxのセキュリティに関してなすべき課題も、 もちろんまだまだたくさん残されている。 AppArmorについてのMayank Sharmaによる記事中でも指摘されているように、 AppArmorに関しては SUSEとopenSUSE以外の多くのディストリビューションではまだ採用されていないし、 一方のSELinuxに関しては お世辞にも設定が簡単と言える代物ではない。 それでもどちらのセキュリティフレームワークも日々開発が続けられ、 多くの組織によってシステムのセキュリティを強化するために利用されている。

ただここで注意したいのは、AppArmorやSELinuxが多くの問題を解決してくれるのは確かではあるが、 だからと言ってシステムを100%セキュアに保つためにこれさえインストールしておけば良いという 魔法のソフトウェアが存在するわけではないということだ。 セキュリティ専門家のKurt Seifried氏も 述べている翻訳記事) ように、システムやサービスの安全な運用を実現するためには すべての管理者が「かなりのセキュリティ知識」を持ち合わせる必要がある。 仮に必要なパッチをすべて適用しさらにSELinuxやAppArmorを有効にしたとしても、 設定がお粗末であるシステムは確実に悲劇を招く。

そこでセキュリティにより精通するために Bastille翻訳記事) を使うというのも一つの手だ。 Bruce Byfieldによる先週の記事でも紹介されているように、 Bastilleはシステムのセキュリティを厳重化するために役立つだけでなく、 システムがセキュアでない可能性がある理由についてや、 それを修正する方法などを教えてくれる、 セキュリティ調査/教育ツールとしても機能する。

またByfieldによるもう一つの記事では 「忘れられた原則」翻訳記事) を取り上げ、そもそもシステムのセキュリティがなぜそのように お粗末な状態であるのかを示している。 この記事の中では、 OSをセキュアにして運用するということは「不可能なことではまったくない」ものの、 「業界で良しとされ推奨されている方法と 消費者が良しとして行なってしまっている方法との間には大きな隔たりがあります。 問題意識の欠如以外の何物でもありません。」 というStarfish Systems社社長Dan Razzell氏の言葉が引用されている。

セキュリティは、まぎれもなく巨大なテーマだ。 そのため今回の連載だけでLinuxとオープンソースにおけるセキュリティのすべての側面を カバーできたと思っているわけでは決してない。 そこでわれわれは2007年も連載を組んで再びセキュリティについて考えるつもりだ。 ファイアウォールを設置してシステムを安全にする方法についてや、 EnGarde Secure Linuxのようなセキュリティ強化版Linuxディストリビューションについてなど、 多くのテーマをさらに取り上げることを計画している。

そしてもちろん、取り上げて欲しい内容については読者の意見を参考にしたいと思っている。 興味のあるトピックについてメールや コメントを気軽に送って欲しい。 2007年には、パッケージ管理やストレージ、VoIPなどはどうだろう? 熱心に耳を傾けるつもりなので、是非意見を寄せていただきたい。 期待に沿った記事を提供できるよう全力を尽くすつもりだ。