Linuxのセキュリティ、CVEパッチだけでは不十分
by cmoullec on 25 February 2020
お使いのLinuxのセキュリティを強化したいですか? インフラとアプリケーション両方の観点からオープンソースのセキュリティを評価するには、どういった要素を考慮する必要があるのかご存知ですか? Ubuntuセキュリティチームのアプローチを学んでみませんか? CVEパッチが重要であることは理解しています。しかし、構造化されたアプローチ、専門的なツール、明確に定義されたプロセスがなければLinux環境は安全なものにはなりません。
Linuxセキュリティ専門家の見解
私は、オープンソースセキュリティサミットでのこうした質問から大いに刺激を受けました。このイベントに続いてLinuxセキュリティサミットが開催されましたが、多くの基調講演やワークショップが実施され、有益な会話がたくさん交わされたこの1週間を心から楽しみました。私のメモにはLinuxのセキュリティに関するすばらしい発言が書き記されています。たとえば、IntelのKelly Hammond氏は基調講演の冒頭で、「セキュリティは洗濯や料理のようなもので、これでもう終わり、というものではない」と述べました。
Linuxのセキュリティは、CVEの修正よりも複雑
CVEの修正は継続的な作業であり、どのLinuxセキュリティチームも重点を置いています。Linux FoundationのGreg Kroah-Hartman氏は基調講演において、カーネルの観点からこの問題を取り上げました。同氏の言葉を借りると、カーネルに割り当てられるCVEはほとんどないため、「CVEはカーネルにとって何の意味もありません。」 安定したLinuxカーネルは、CVEプロセスが一切関与することなしに毎日22~25のパッチを受け取ります。したがってHartman氏は、Linuxのセキュリティにおいては常に最新の安定したカーネルを使用することが重要であり、CVEの心配をすることが重要ではない、という立場をとっています。
CVEとは?
CVEは、非営利組織であるMitreが管理するCommon Vulnerabilities and Exposures(共通脆弱性識別子)の略称です。その目的は、統一されたフレームワークを提供することで、サイバーセキュリティの脅威への対処を容易にすることです。CVEの提出は誰でも行うことができ、製品ベンダーまたは発行者が評価します。現時点でCVEデータベースは127111のエントリで構成されています。Ubuntuセキュリティチームは毎日複数のCVEを受け取り、レビューし、優先順位を付けています。
セキュリティには複数のレイヤーがある
セキュリティの観点から、Ubuntuの発行元であるCanonicalは、カーネルチームとセキュリティチームという2チーム体制をとっています。
Ubuntuカーネルチームは、次のようなセキュリティに関する取り組みを行っています。
- カーネルの短いリリースサイクル。これは、Ubuntuカーネルに対するインフルエンザの予防接種のようなものです。Canonicalは3週間ごとに、すべてのセキュリティパッチが適用された最新の安定したカーネルを提供しています。
- カーネルLivepatch。これは、再起動せずにカーネルパッチが自動で適用できるというセキュリティを重視したサービスです。個人利用は無償です。商用利用の場合はUbuntu Advantage for Infrastructureの一部として利用できます。
Ubuntuセキュリティチームは、次のような取り組みを行っています。
- プロアクティブ(積極的な)セキュリティ:セキュリティチームは、ソースコードを調べ、足跡と問題のパターンを特定します。たとえば、主要なUbuntuリポジトリに新しいパッケージを追加する前には、セキュリティチームがそれぞれのソースコードパッケージを承認する必要があります。
- CVEパッチ:これは複数のレベルで行われます。前述のように、CVEはさまざまなソースから提供されているため、まず評価を行う必要があります。Canonicalは、世界各地に拠点を持つ分散型の企業であるため、常に誰かが脅威を評価することができます。評価された各CVEはUbuntu CVE優先度に関する記述に従って優先順位が付けられます。
セキュリティスコアの定量化
Linux FoundationのGreg Kroah-Hartman氏によると、「サポートされているLinuxディストリビューションカーネル、または安定/長期カーネルを使用していない場合、そのシステムは安全ではありません。」 UbuntuユーザーはカーネルLivepatchと5年間の標準サポートを利用することができます。また、これはESM(Extended Security Maintenance)の下で10年間に延長できます。ESMとカーネルLivepatchはどちらもUbuntu Advantage for Infrastructureに含まれています。
Ubuntuはセキュリティを念頭に置いて構築されており、担当チームは、セキュリティの基準を定義して注意深く監視することによってセキュリティへの取り組みの有効性を評価しています。前述のとおり、Canonicalではセキュリティ業務を24時間、365日体制で行っています。CVEに関していえば、分散されたセキュリティ専門家チーム、構造化されたプロセス、専門的なツールを利用し、それぞれのCVEに優先順位を付けています。私たちの目的は、影響力の大きなセキュリティ脅威に対するパッチをできる限り素早く提供することです。そのため、平均すると最重要CVEは1日以内に、また優先度の高いCVEは1週間以内にパッチを適用しています。
詳細は、最新のウェビナー「UbuntuによるLinuxセキュリティ」(英語)をご覧ください。
ニュースレターのサインアップ
関連記事
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
Canonical、Ubuntu 25.04 Plucky Puffin
Ubuntuの最新中間リリースでSpringなどの人気フレームワークに対応する「devpack」を導入。幅広いハードウェアでパフォーマンスを強化。 Canonicalは本日、Ubuntu 25.04(コードネーム「Plucky Puffin」)をリリースしました。ubuntu.com/downloadからダウンロードとインストールが可能です。 Ubuntu 25.04は最新のGNOME 48を採用し、トリプルバッファリングに対応するほか、インストールと起動を改善しました。Springに対応した「devpack」により、Ubuntuで利用可能なツールチェーンが充実。Canonicalのパートナー各社によるシリコン対応により、Intel GPUでのAI処理速度が向上し、AMD […]
Canonicalとルネサスが提携し、企業向けAIのイノベーションを加速
Ubuntuの発行元であるCanonicalは、半導体ソリューションの世界的リーダーであるルネサス エレクトロニクス株式会社が、エッジコンピューティングとAIアプリケーションの需要増大に対応する最先端のソリューションを提供するため、Canonicalのシリコンパートナープログラムに参加したと発表しました。AIを利用したソリューションが業界に普及するにつれ、効率、拡張性、セキュリティに優れたエッジコンピューティングプラットフォームが強く求められています。このパートナーシップは、組み込み処理におけるルネサスの専門知識とCanonicalの包括的なIoT(モノのインターネット)ソフトウェアスタックを統合するものです。 拡張性の高い実運用グレードのソリューション Canonica […]
