日立ソリューションズは、お客様の全体最適の視点で豊富なソリューションを組み合わせて提供する『ハイブリッド インテグレーション』を実現します。

ニュースリリース

本記事は2010年10月1日以前に公開されたもののため、本文中の社名(日立ソフト)は当時のものとなっております。

2007年11月14日
日立ソフト

日立ソフト、情報家電向けSELinuxを開発、セキュリティの脅威に対処
~SELinuxのCPU・メモリ消費量を最大1/10に削減~

日立ソフト(執行役社長:小野 功、本社:東京都品川区)は、情報家電のセキュリティ問題に対処するため、「情報家電向けSELinux」を開発しました。セキュアOS「SELinux(※1)」は、PC向けに普及していますが、CPU、メモリ、ストレージのようなハードウェアリソースを多く消費するため、情報家電などの組込み機器で動作させることは困難でした。そこで、当社研究部門では、SELinuxのハードウェアリソース消費量を削減することで情報家電向けに最適化しました。これにより、踏み台化、情報破壊、情報漏洩のような情報家電へのセキュリティ脅威に対処することができます。

情報家電のインターネット接続が増大しています。これと同時に、情報家電は不正侵入による情報破壊、漏洩、踏み台化の脅威に晒される可能性が高まっています。NGN(次世代ネットワーク)等のインフラ整備が進むにつれ、さらにこの流れは加速すると予想されています。  このような脅威に対処する手段として、日立ソフトは、SELinuxに注目しました。SELinuxの強力なセキュリティ機能(※2)により、ソフトウェアの修正など保守が困難な情報家電においても,不正侵入の被害を最小化することができます。しかしながら、現状PCサーバ向けに普及しているSELinuxは、高性能なCPU、多量のメモリ・ストレージ容量を消費するため、ハードウェアリソースが少ない情報家電などの組込み機器では適用が困難でした。 日立ソフトは、この限られた組込み機器のハードウェアリソースであっても適用できるように情報家電向けSELinuxを開発しました。SELinuxを軽量化し、情報家電などに搭載されている株式会社ルネサス テクノロジ製のマイクロコンピュータ「SuperH RISC engine」向けに最適化したものです。具体的には冗長な処理の削減、機能の取捨選択などを行い、CPUリソースの消費量を最大1/10(※3)程度に、またメモリ・ストレージの消費量を約1/10に削減しました。  これにより、情報家電においても十分にSELinuxが動作するようになりました。情報家電以外にも,カーナビ・携帯電話・ホームゲートウェイ等に適用可能です。

また、日立ソフトは、今回の情報家電向けSELinuxの開発に併せ、SELinuxの設定支援ツール「SELinux Policy Editor」も組み込みソフト開発用に強化しました。SELinuxはアクセス制御の設定項目が多いため、その作業は煩雑なことが知られています。日立ソフトでは、SELinuxの設定を簡単に行うためのツール「SELinux Policy Editor」をオープンソースにして公開しています。しかし、本ツールは設定対象マシンで動作させる必要があるため、別の環境でビルド(※4)を行う組込み開発環境(クロス開発)では使うことができませんでした。当社では「SELinux Policy Editor」に、クロス開発機能を実装し、組込みソフト開発でも、「SELinux Policy Editor」を容易に使用することができるようにしました。

なお、今回の開発成果の一部は、オープンソースコミュニティに提案し、採用されています。採用先のコミュニティは、Linuxカーネル、SELinux、BusyBox(※5)です。
 日立ソフトでは、組込みソフト開発の分野で、今回の技術をベースとしたビジネスの展開を今後検討してまいります。
 なお、今回の成果は、11月14日~16日に開催のEmbedded Technology 2007(於:パシフィコ横浜)にて参考出展致します

<適用イメージ図>

適用イメージ図


(※1)
Security-Enhanced Linux (SELinux)は米国家安全保障局 (The National Security Agency、NSA)が中心になって開発したLinuxベースのセキュアOSです。カーネル2.6には標準で組み込まれ、サーバ向けの商用ディストリビューションにも採用されています。日立ソフトは、SELinuxがリリースされた2000年末から調査を始め、書籍や雑誌記事による技術紹介、設定簡易化ツールや管理ツールを開発して一般公開するなど、SELinuxの普及促進活動を継続しています。
(※2)
プロセスとリソースにそれぞれドメインとタイプというラベルを付与してアクセス制御を行うSELinuxの核となる機構の一つであるType Enforcementを利用してセキュリティ対策を行っています。たとえ、ハッカーやウィルスに不正侵入されてしまったとしても、それらが持てる権限は必要最小限なため、破壊活動を行うことが非常に困難になります。セキュリティパッチ未適用であったとしても、SELinuxのセキュリティは機能します。
(※3)
読み書き処理のSELinuxによるオーバーヘッドについて、1/10程度に削減しました。
(※4)
ビルドとは、ソースプログラムのコンパイルやライブラリのリンクを行い、実行可能ファイルにすることです。
(※5)
BusyBoxとは、組込みLinuxにおいて標準的に使われるオープンソースのシステムツールです。



SuperH RISC engineは株式会社ルネサス テクノロジの登録商標です。
その他記載されている会社名および製品名は、各社の登録商標または商標です。
日立ソフトの正式名称は、日立ソフトウェアエンジニアリング株式会社です。

AdobeReader

PDFファイルをご覧いただくには "Adobe Reader"が必要です。
最新版はAdobe社のWebサイトよりダウンロードできます。(無償)

ニュースリリースの内容は発表当時のものです。商品の販売終了や組織変更により、最新の情報と異なる場合がありますのでご了承ください。