なぜ GNU / Linux に注目すべきなのか?
以下は GNU / Linux の市場に関する統計です:
- 47% のプロフェッショナル開発者が Linux ベースのオペレーティングシステムを使用しています。 (Statista)
- Linux はオペレーティングシステムが判明しているウェブサイトの 39.2% を動かしています。 (W3Techs)
- Linux はスマートフォンの 85% を動かしています。 (Hayden James)
- Linux は、3番目に人気のあるデスクトップ OS で、2.09% の市場シェアを持っています。 (Statista)
- Linux の世界市場規模は、 2027 年までに 156.4 億ドルに達すると予測されています。 (Fortune Business Insights)
- 世界最速のスーパーコンピュータ 500 台はすべて Linux で動作しています。 (Blackdown)
- 上位 100 万のウェブサーバーの 96.3% が Linux を使用しています。 (ZDNet)
- 現在、 600 以上のアクティブな Linux ディストリビューションがあります。 (Tecmint)
数年前、 Anti-Virus + Firewall + LSM ( SELinux または AppArmor ) が、ほとんどのケースで主な保護手段の組み合わせでした。サーバーソフトウェア市場は少しずつ変化しています。
不死の 0-day 幽霊
0-day は、ソフトウェアやハードウェアに存在する脆弱性で、ベンダーに公開されており、修正プログラムや他のベンダー提供の対策がまだ利用できないものを指します。つまり、ソフトウェアには常に 0-day の問題が存在します。
問題は、どれほど優れたセキュリティチームを持っていても、またはどれほど予算が豊富でも、サーバーが常に 0-day 攻撃の脅威にさらされているということです。そして、 0-day 攻撃が成功すると、攻撃者は必ず rootkit をオペレーティングシステムに植え付けます。この rootkit は、システムを再起動しない限り取り除くことができません。
ワクチンソリューション - カーネルランタイム保護
0-day は避けられないとすると、どのように防ぐことができるのでしょうか?もし防げないのであれば、それはすべてのセキュリティソフトウェアが無意味になってしまうことを意味します。なぜなら、0-day は脆弱性が公開される前に、どんな保護手段も回避できるからです。
答えはカーネルランタイム保護です。具体的には、これはワクチンのように機能します。ワクチンを注入した後、攻撃パターンは高い確率でブロックされますが、その効果はワクチン製品の品質に依存します。
現在市場にあるワクチン製品は3つだけです。
最強の盾 - Grsecurity
Grsecurity は、 Linux カーネルに対する広範なセキュリティ強化機能であり、インテリジェントなアクセス制御、メモリ破損を基にしたエクスプロイト防止、その他の多くのシステム強化を通じて、さまざまなセキュリティ脅威から防御します。
このプロジェクトは過去 23 年間にわたり積極的に開発および維持されてきました。 Grsecurity の商業サポートは Open Source Security , Inc. を通じて提供されています。
現在、 Grsecurity は保護とパフォーマンスの両面でトップクラスです。
日本からの光 - 日立 AKO
AKO は Additional Kernel Observer の略で、日立が支援し、 2020 年に論文が公開されました。
AKO は日立の工業安全ソリューションであり、 LKRG がカーネルに焦点を当てているのに対し、 AKO は工業システムの安全ソリューションです。システム呼び出しを監視し、 UID の実行時異常を検出して保護を提供することに専念しています。この方法は、通常の動作からの逸脱が潜在的なセキュリティ脆弱性を示す可能性があるため、工業制御システムに特に適しています。システム呼び出しやユーザー ID を注意深く監視することで、 AKO は不正な活動を検出して対応し、重要な工業基盤施設をサイバー脅威から保護するのに役立ちます。
AKO ソリューションは主に日立独自の産業セキュリティ用に設計されており、より広範なセキュリティ市場向けの汎用製品となるための多くの機能が不足しています。
コストとセキュリティのバランス - VED
VED は Vault Exploit Defense の略で、 2020 年に設立された新しいスタートアップ企業 HardenedVault によって開発されました。
カーネルレベルの保護は長い間、サイバー空間における最も困難な技術の一つとされてきました。 HardenedVault は、実行時の包括的な保護を実現するための革新的な方法を開拓しました。その製品 Vault Exploit Defense (VED) は、通常非常に高い破壊力を持ち、極めて検出が困難な Linux カーネルの既知(N-day)および未知 (0-day) の脆弱性を検出して阻止します。
VED は Linux カーネル向けの実行時保護ソリューションであり、 0day / Nday の脆弱性に対抗し、後期攻撃を検出します。特に重要なのは、「ワクチン」という比喩とは異なり、既に侵害されたホストで VED が実行されている場合、システム内に隠れている rootkit を検出して阻止できることです。つまり、 VED は「ワクチン」であると同時に治療のための「特効薬」となります。
結論
GNU / Linux の市場規模と普及率の拡大に伴い、サイバーセキュリティの重要性はますます高まっています。特に、 0-day 攻撃の脅威は避けられず、従来の保護手段だけでは不十分です。
現在、 Grsecurity は最高レベルの保護を提供しており、 Hitachi AKO は工業システム向けに特化したユニークなソリューションです。一方、 HardenedVault の VED は、 0-day / Nday 攻撃への防御と侵害後の検出を兼ね備えた、コストとセキュリティのバランスを取った実用的な選択肢です。
今後は、システムの要件やコストに応じてこれらのソリューションを適切に選択し、セキュリティ対策を強化していくことが重要です。