情報セキュリティへの脅威が増すなか、「Trusted OS」（信用されたOS）と呼ばれる新たなセキュリティ環境が注目されている。従来のセキュリティ対策は、不正侵入を防止するファイアウォールやウイルスを防ぐソフトウェアなどを利用したものが多かった。これに対して「Trusted OS」とは、OSそのものを堅牢化し、不正アクセスを防ぐ仕組みだ。欧米ではすでに通信事業者や金融機関などが導入を進める。日本でも、官公庁が情報システムの入札要件にTrusted OSを採用する動きがあり、関心が高まりつつある。（坂口正憲●取材／文）

OSそのものを堅牢にする

■公共性の高い企業が導入

　Trusted OSとは、米国防総省が策定したセキュリティ基準書（通称「オレンジブック」）で上位レベルにあるOSを指す。

　軍事システムに用いるOSを最高位Aレベル、一般的なUNIXやウィンドウズ2000をCレベルと規定するオレンジブックで、Trusted OSはBレベルに位置する。

　簡単に言えば、主に、軍事向けに開発された特別なUNIXを、民間が利用しやすいように改良した製品である。

　その特徴は、個々のアプリケーションやファイルの利用を細かく制御したり、外部からの接続をOSレベルで強制的に制御できる点にある。

　これによって、外部からの不正アクセスや「なりすまし」で、データを改ざん・破壊されたり、覗き見られる危険を最小限に防ぐことができる。

　ユーザー権限によりシステムを制御する一般的なOSでは、ファイアウォールを設置していても、公開サーバーのセキュリティホールを介しシステム内部に侵入されると、全体を自由に操られる危険性がある。

　また、内部犯がなりすましで権限以上のデータに接続する場合は効果がない。セキュリティホールや内部犯行を根絶できない現実を考えると、OSの堅牢化は、セキュリティの最終手段と言える。

　実際、全世界のハッカーが攻撃を仕掛け、年間5億ドルものセキュリティ被害が発生する米国では、官公庁や金融機関がTrusted OSを採用し始めている。

　欧州でもドイツテレコムやユニオンスイス銀行など、公共性の高い企業が導入済みだ。情報セキュリティビジネスで「Trusted OS」という新たな市場が育ちつつある。

■高まるセキュリティ意識

　日本でも動きが活発化している。三菱商事系のアイ・ティ・フロンティアは今春から、代表的なTrusted OS「PitBull（ピットブル）」（米アーガス・システムズ・グループ開発）の国内販売を手掛ける。

　同社e-ソリューション推進部の佐藤大氏は、「従来型のセキュリティの脆さが認知されつつあり、電力や通信などインフラ系企業を中心に関心が高まっている。PitBullは一般のUNIXと互換性があり、既存システムへの組み込みが容易」と話す。

　宇都宮のシステム開発会社、ランスはLinux版のPitBullを自社製サーバーに搭載し、アプライアンス製品として販売する。「県庁など自治体に向けて、セキュリティ対策の必要性を啓蒙しながら営業展開を図っている」（宇賀神雄一シニアマネジャー）という。

　Trusted OSは、一般のOSに比べて割高な面があったが、最近は安価な製品も登場してきた（PitBullでは、Linux版で1CPU当たり68万円が標準価格）。

　今後、「住基ネット（住民基本台帳ネットワークシステム）」施行などにより官公庁では高度なセキュリティ環境が求められてくる。

　「官公庁が発注する情報システムでは、オレンジブックBレベルのセキュリティ環境を入札要件にする動きが出ている」（佐藤氏）と言う。

　また、民間企業でも、顧客データ漏洩などによる信用被害の大きさを考えれば、セキュリティ対策に力を入れざるを得ない。

　今後、Trusted OSへの注目はさらに高まりそうだ。