Linuxのセキュリティ、CVEパッチだけでは不十分

Puzzle, security

お使いのLinuxのセキュリティを強化したいですか? インフラとアプリケーション両方の観点からオープンソースのセキュリティを評価するには、どういった要素を考慮する必要があるのかご存知ですか? Ubuntuセキュリティチームのアプローチを学んでみませんか? CVEパッチが重要であることは理解しています。しかし、構造化されたアプローチ、専門的なツール、明確に定義されたプロセスがなければLinux環境は安全なものにはなりません。

Linuxセキュリティ専門家の見解

私は、オープンソースセキュリティサミットでのこうした質問から大いに刺激を受けました。このイベントに続いてLinuxセキュリティサミットが開催されましたが、多くの基調講演やワークショップが実施され、有益な会話がたくさん交わされたこの1週間を心から楽しみました。私のメモにはLinuxのセキュリティに関するすばらしい発言が書き記されています。たとえば、IntelのKelly Hammond氏は基調講演の冒頭で、「セキュリティは洗濯や料理のようなもので、これでもう終わり、というものではない」と述べました。

Linuxのセキュリティは、CVEの修正よりも複雑

CVEの修正は継続的な作業であり、どのLinuxセキュリティチームも重点を置いています。Linux FoundationのGreg Kroah-Hartman氏は基調講演において、カーネルの観点からこの問題を取り上げました。同氏の言葉を借りると、カーネルに割り当てられるCVEはほとんどないため、「CVEはカーネルにとって何の意味もありません。」 安定したLinuxカーネルは、CVEプロセスが一切関与することなしに毎日22~25のパッチを受け取ります。したがってHartman氏は、Linuxのセキュリティにおいては常に最新の安定したカーネルを使用することが重要であり、CVEの心配をすることが重要ではない、という立場をとっています。

CVE, security, system, Kernel

CVEとは?

CVEは、非営利組織であるMitreが管理するCommon Vulnerabilities and Exposures(共通脆弱性識別子)の略称です。その目的は、統一されたフレームワークを提供することで、サイバーセキュリティの脅威への対処を容易にすることです。CVEの提出は誰でも行うことができ、製品ベンダーまたは発行者が評価します。現時点でCVEデータベースは127111のエントリで構成されています。Ubuntuセキュリティチームは毎日複数のCVEを受け取り、レビューし、優先順位を付けています。

セキュリティには複数のレイヤーがある

セキュリティの観点から、Ubuntuの発行元であるCanonicalは、カーネルチームとセキュリティチームという2チーム体制をとっています。

Ubuntuカーネルチームは、次のようなセキュリティに関する取り組みを行っています。

  • カーネルの短いリリースサイクル。これは、Ubuntuカーネルに対するインフルエンザの予防接種のようなものです。Canonicalは3週間ごとに、すべてのセキュリティパッチが適用された最新の安定したカーネルを提供しています。
  • カーネルLivepatch。これは、再起動せずにカーネルパッチが自動で適用できるというセキュリティを重視したサービスです。個人利用は無償です。商用利用の場合はUbuntu Advantage for Infrastructureの一部として利用できます。 

Ubuntuセキュリティチームは、次のような取り組みを行っています。

  • プロアクティブ(積極的な)セキュリティ:セキュリティチームは、ソースコードを調べ、足跡と問題のパターンを特定します。たとえば、主要なUbuntuリポジトリに新しいパッケージを追加する前には、セキュリティチームがそれぞれのソースコードパッケージを承認する必要があります。
  • CVEパッチ:これは複数のレベルで行われます。前述のように、CVEはさまざまなソースから提供されているため、まず評価を行う必要があります。Canonicalは、世界各地に拠点を持つ分散型の企業であるため、常に誰かが脅威を評価することができます。評価された各CVEはUbuntu CVE優先度に関する記述に従って優先順位が付けられます。

セキュリティスコアの定量化

Linux FoundationのGreg Kroah-Hartman氏によると、「サポートされているLinuxディストリビューションカーネル、または安定/長期カーネルを使用していない場合、そのシステムは安全ではありません。」 UbuntuユーザーはカーネルLivepatchと5年間の標準サポートを利用することができます。また、これはESM(Extended Security Maintenance)の下で10年間に延長できます。ESMとカーネルLivepatchはどちらもUbuntu Advantage for Infrastructureに含まれています。

insecure, stable, kernel

Ubuntuはセキュリティを念頭に置いて構築されており、担当チームは、セキュリティの基準を定義して注意深く監視することによってセキュリティへの取り組みの有効性を評価しています。前述のとおり、Canonicalではセキュリティ業務を24時間、365日体制で行っています。CVEに関していえば、分散されたセキュリティ専門家チーム、構造化されたプロセス、専門的なツールを利用し、それぞれのCVEに優先順位を付けています。私たちの目的は、影響力の大きなセキュリティ脅威に対するパッチをできる限り素早く提供することです。そのため、平均すると最重要CVEは1日以内に、また優先度の高いCVEは1週間以内にパッチを適用しています。

詳細は、最新のウェビナー「UbuntuによるLinuxセキュリティ」(英語)をご覧ください。

写真:Hans-Peter Gauster/Unsplash

Posted in: