Linuxのセキュリティ、CVEパッチだけでは不十分
by cmoullec on 25 February 2020
お使いのLinuxのセキュリティを強化したいですか? インフラとアプリケーション両方の観点からオープンソースのセキュリティを評価するには、どういった要素を考慮する必要があるのかご存知ですか? Ubuntuセキュリティチームのアプローチを学んでみませんか? CVEパッチが重要であることは理解しています。しかし、構造化されたアプローチ、専門的なツール、明確に定義されたプロセスがなければLinux環境は安全なものにはなりません。
Linuxセキュリティ専門家の見解
私は、オープンソースセキュリティサミットでのこうした質問から大いに刺激を受けました。このイベントに続いてLinuxセキュリティサミットが開催されましたが、多くの基調講演やワークショップが実施され、有益な会話がたくさん交わされたこの1週間を心から楽しみました。私のメモにはLinuxのセキュリティに関するすばらしい発言が書き記されています。たとえば、IntelのKelly Hammond氏は基調講演の冒頭で、「セキュリティは洗濯や料理のようなもので、これでもう終わり、というものではない」と述べました。
Linuxのセキュリティは、CVEの修正よりも複雑
CVEの修正は継続的な作業であり、どのLinuxセキュリティチームも重点を置いています。Linux FoundationのGreg Kroah-Hartman氏は基調講演において、カーネルの観点からこの問題を取り上げました。同氏の言葉を借りると、カーネルに割り当てられるCVEはほとんどないため、「CVEはカーネルにとって何の意味もありません。」 安定したLinuxカーネルは、CVEプロセスが一切関与することなしに毎日22~25のパッチを受け取ります。したがってHartman氏は、Linuxのセキュリティにおいては常に最新の安定したカーネルを使用することが重要であり、CVEの心配をすることが重要ではない、という立場をとっています。
CVEとは?
CVEは、非営利組織であるMitreが管理するCommon Vulnerabilities and Exposures(共通脆弱性識別子)の略称です。その目的は、統一されたフレームワークを提供することで、サイバーセキュリティの脅威への対処を容易にすることです。CVEの提出は誰でも行うことができ、製品ベンダーまたは発行者が評価します。現時点でCVEデータベースは127111のエントリで構成されています。Ubuntuセキュリティチームは毎日複数のCVEを受け取り、レビューし、優先順位を付けています。
セキュリティには複数のレイヤーがある
セキュリティの観点から、Ubuntuの発行元であるCanonicalは、カーネルチームとセキュリティチームという2チーム体制をとっています。
Ubuntuカーネルチームは、次のようなセキュリティに関する取り組みを行っています。
- カーネルの短いリリースサイクル。これは、Ubuntuカーネルに対するインフルエンザの予防接種のようなものです。Canonicalは3週間ごとに、すべてのセキュリティパッチが適用された最新の安定したカーネルを提供しています。
- カーネルLivepatch。これは、再起動せずにカーネルパッチが自動で適用できるというセキュリティを重視したサービスです。個人利用は無償です。商用利用の場合はUbuntu Advantage for Infrastructureの一部として利用できます。
Ubuntuセキュリティチームは、次のような取り組みを行っています。
- プロアクティブ(積極的な)セキュリティ:セキュリティチームは、ソースコードを調べ、足跡と問題のパターンを特定します。たとえば、主要なUbuntuリポジトリに新しいパッケージを追加する前には、セキュリティチームがそれぞれのソースコードパッケージを承認する必要があります。
- CVEパッチ:これは複数のレベルで行われます。前述のように、CVEはさまざまなソースから提供されているため、まず評価を行う必要があります。Canonicalは、世界各地に拠点を持つ分散型の企業であるため、常に誰かが脅威を評価することができます。評価された各CVEはUbuntu CVE優先度に関する記述に従って優先順位が付けられます。
セキュリティスコアの定量化
Linux FoundationのGreg Kroah-Hartman氏によると、「サポートされているLinuxディストリビューションカーネル、または安定/長期カーネルを使用していない場合、そのシステムは安全ではありません。」 UbuntuユーザーはカーネルLivepatchと5年間の標準サポートを利用することができます。また、これはESM(Extended Security Maintenance)の下で10年間に延長できます。ESMとカーネルLivepatchはどちらもUbuntu Advantage for Infrastructureに含まれています。
Ubuntuはセキュリティを念頭に置いて構築されており、担当チームは、セキュリティの基準を定義して注意深く監視することによってセキュリティへの取り組みの有効性を評価しています。前述のとおり、Canonicalではセキュリティ業務を24時間、365日体制で行っています。CVEに関していえば、分散されたセキュリティ専門家チーム、構造化されたプロセス、専門的なツールを利用し、それぞれのCVEに優先順位を付けています。私たちの目的は、影響力の大きなセキュリティ脅威に対するパッチをできる限り素早く提供することです。そのため、平均すると最重要CVEは1日以内に、また優先度の高いCVEは1週間以内にパッチを適用しています。
詳細は、最新のウェビナー「UbuntuによるLinuxセキュリティ」(英語)をご覧ください。
ニュースレターのサインアップ
関連記事
CentOSのサポート終了(EOL)– Cephストレージへの影響は?
暗闇から光の中へ、新たな前進 2020年に、CentOS ProjectはCentOS Streamのみに注力することを発表しました。つまりCentOS 7がRed Hat Enterprise Linuxと共通性を持つ最後のリリースです。2024年6月30日のCentOS 7のサポート終了(EOL)により、OSのセキュリティ更新、パッチ、新機能のリリースがなくなります。 このバージョンのCentOSにCephをデプロイすると、将来の困難は見えています。EOLの課題を切り抜ける方法はいくつかありますが、それぞれに短所があります。 リスク 何もしなければ、デプロイメントが古くなるにつれてCephの新しいバージョンにアップグレードする道がなくなり、新しい機能を得られなくなりま […]
PostgreSQLをAIに活用
AIを扱うことはデータを扱うこと。数値データから動画や画像まで、業界や用途を問わず、AIプロジェクトは何らかの形でデータに依存します。問題は、そのデータをどうやって効率的に保管し、モデルを構築する際に使用するかです。解決策の1つは、実績があり、愛好者の多いデータベースであるPostgreSQLです。近年の開発により、AIをサポートする有力な選択肢になっています。 PostgreSQLを選ぶべき理由 PostgreSQLはオープンソースで高機能のデータベースシステムです。外部キー、サブクエリ、トリガーのほか、さまざまなユーザー定義型や関数をサポートしています。近年はデータベース分野で人気を高め、2023年には年間最優秀データベース管理システム(DBMS)に選出されました。 […]
CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長
Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]