編集部からのお知らせ
コロナ禍とIT投資
「ニューノーマルとIT」新着記事一覧

Linuxにカーネル「ロックダウン」セキュリティ機能追加へ

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-10-01 13:59

 Linuxカーネルに「ロックダウン」という新たなセキュリティ機構が追加されるようだ。何年にも及ぶ無数のレビューや議論、コードの書き直しの末に、Linus Torvalds氏によって米国時間9月28日にようやく承認された。

Linux

 この新たな機構は間もなくリリースされる「Linuxカーネル5.4ブランチ」における「Linux Security Module」(LSM)として投入され、デフォルトでは無効化される予定となっている。利用がオプショナルとなる理由は、既存システムが動作しなくなるリスクがあるためだ。

 同機構が担う主な機能は、ユーザーランドのプロセスとカーネルコードの分離を強化するために、今までであれば設計上可能であったrootアカウントによるカーネルコードとのやり取りにすら制限を加えるというものだ。

 新たな「ロックダウン」機構を有効化した場合、rootユーザーであったとしても一部のカーネル機能の使用に制限が加えられるため、攻撃者の手に落ちたrootアカウントからも、OSに対するさらなる影響を与えることが難しくなる。

 Googleのエンジニアであり、数年前にこの機構を提案したMatthew Garrett氏は5月に、「このロックダウンモジュールは、ブート(プロセス)の初期段階でカーネルをロックダウンできるようにするのが目的だ」と述べていた。

 このモジュールを最終的に承認した、Linuxカーネルの生みの親であるTorvalds氏は、「有効化された場合、カーネル機能のさまざまな部分に制限が加えられる」と述べている。

 こういった制限には、ユーザーランドのプロセスによって供給されたコードを経由して任意のコードの実行を許す可能性のあるカーネル機構へのアクセスに制約を加えたり、/dev/memや/dev/kmemといったメモリー領域に対する書き込み/読み込みプロセスをブロックしたり、カーネルモジュールの署名を強制するといった、数多くのものが含まれている。

 このモジュールでは、「integrity」(整合性)と「confidentiality」(機密性)という2種類のロックダウンモードがサポートされる。それぞれは固有のものであり、異なるカーネル機能に対するアクセスを制限するようになっている。

 カーネルのロックダウン機構への取り組みは2010年代の初頭に着手され、現在GoogleのエンジニアであるGarrett氏によって推進された。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    安全なテレワークや在宅勤務を担保する、DCセキュリティの新パラダイム

  2. コミュニケーション

    PC不要!自宅でも会議室でも即ミーティングが可能!脅威のシンプルさの秘密とは?

  3. クラウドコンピューティング

    【事例動画】顧客との“つながり”を創出し「モノ」から「コト」へと実現したIoT活用法とは

  4. セキュリティ

    セキュリティ侵害への対応は万全ですか?被害を最小限にとどめるための10のヒントを知る

  5. セキュリティ

    SANS「2020 CTI調査」が明かす、サイバー脅威インテリジェンスの最新動向

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]