4/14に韓国で開催されたセキュアOSフォーラムからのインタビュー記事
キーワードは「Convergence」
日本でも以前はセキュアOSカンファレンスというのがあったんだけど。。。

[インタビュー]Secuve代表 “セキュアOSのConvergenceが始まる”
[인터뷰]홍기융 시큐브 대표 “시큐어 OS의 컨버전스 시작된다”
http://www.boannews.com/media/view.asp?page=2&gpage=1&idx=15465&search=&find=&kind=0

創立10周年を迎えたSecuve社は4月14日に三成洞KOEX3階のホールで‘セキュアOSフォーラム2009 カンファレンス’を開催した。
セキュアOSは政府、公共機関だけでなく金融機関及び多くの民間企業に至るまで情報流出防止及び内部統制ソリューションでその活用性、有効性が増大している。セキュリティニュースではシキューブの代表取締役に会ってセキュアOSの現状とこれから進む方向性に対して話を聞いた。

・セキュアOSフォーラムは羅針盤なのか?

シキューブが初めて事業を立ち上げた当時、国内にはセキュアOSという認識が全然なかった。したがって国内にセキュアOSに対する概念を伝達するために初めてフォーラムで作ったのだ。外国にはOSというインフラ技術があるが国内にはネットワークセキュリティ以外にシステムに対するセキュリティソリューションがなかった状況だったからセキュアOSに対する必要性は十分だった。
初期はセキュリティに関心ある個人事業者や民間企業が主であったが、現在は多くのセキュリティ業界関係者たちが関心あるように参加している。現在のフォーラムではセキュアOSがIT分野での必要性と注目される技術に対して適用することを重点的に扱っている。特に今回のカンファレンスではセキュアOSが多様な分野と切り継ぎして使うことができるという「Convergence」, すなわち融合されたセキュリティ技術としての論議をすることに重点を置いた。

・アクセス制御とセキュアOSのConvergenceの傾向は?

アクセスコントロールを要求される側面で内部情報流出防止ソリューションとセキュアOSはConvergenceになることができる。セキュアOSの初期はクラッキング防止という部分に重点を置いたが、最近には多方面での適用に拡がっているからだ。
内部犯行に対する情報流出が最近のセキュリティ業界の関心事であり、結局は重要な情報や個人情報が保存されている場所はサーバーとストレージなので、機密データが流出する危険があると感じているなら、基本的に防ぐことができる対策はアクセスコントロールすることだろう。そのため、セキュアOSはアクセスコントロールソリューションとの相性が良く、切り継ぎすることができる.
通常のアクセスコントロールは、IDとパスワードを組み合わせた認証だけで利用する場合が多く、現在のユーザが実際のユーザなのかを立証しにくい方式だ。内部情報流出を防ぐためには行動を記録したアクセスログから利用者が実際の利用者なのかを把握する必要性がある。そのためセキュアOSは認証を強化する領域との融合もできる。たとえば指紋認証のような物理認証ソリューションや PKI認証などのソリューションとセキュアOSを融合すれば詳細なアクセスログを記録できることから実使用者の立証を強化することができる. このようなものがあたりまえの認証方式だろう。
また、組職が大きくIT基盤が大規模になると、管理しなければならないIDが増加する。運用者や管理者、経営層も誰にどんなIDが付与されていたり、使わないIDはどれだけあるかなど、どのような状態であるのか誰も把握することができない水準だ。
したがってセキュアOSはID管理とのConvergenceが進行中だ。ただのID管理で終わるのではなく特定のIDに対してどんな権限を与えるかロールに対して強制アクセス統制機能などを提供できるID管理と融合することができる。

・ログ管理とセキュアOSのConvergenceの傾向は?

セキュリティ事故発生時どんな行為が進行されたのかなどのホレンジック分野も特に注目されている。これは一歩進んだITコンプライアンス分野で見られる。セキュアOSはこんな分野でも活用でき、多くの役に立っている。特に証拠保全分野はセキュアOSの得意分野であり、ID管理とモニタリングともかみ合う. 結局セキュアOSはID管理分野とITコンプライアンスなどの多くの分野で融合のためのポイントになっているのだ。
特に最近の構築事例をよく見れば大規模金融機関に多くの事例が出ている。ID管理では、実際のIDの持ち主がどんな業務を進行しているか、どんな内容を作業をしているかなどのログ管理とユーザの操作行為のログ管理がかみ合う部分がある。
これはホレンジックで見られ、ブラックボックスのような概念だと言われる。そのため、これらを総合的に把握することができる装置が必要だ。結局、これはセキュアOSで融合できると見られている。

・最近のOSのセキュリティ強化自身がセキュアOSの脅威にならないか?

主要なサーバーOSベンダーたちが保有しているOSにも、セキュリティイシューが注目されているため、自分たちのOSに対するセキュリティ機能を強化することが一つの流れになっている。しかし、サーバーOSベンダーたちが解決することができない点は、自社のOSに対するセキュリティ強化だけ可能という点だ。特にOSベンダーたちは自社のシステムの性能を最大限強調することができる部分に重点を置くため、すべての分野でセキュリティを強化しにくい。
しかし、多くの顧客は多様に混在したOS環境のシステムを利用している。これらを統合的に管理できるソリューションが必要になっているのだ。特にSecuveのセキュアOSはどんなOSでも構わずにセキュリティポリシー管理やID管理、強制アクセス制御などのセキュリティ対策分野を強化することができるから、OSベンダーたちのセキュアOS化とSecuveのセキュアOSを利用したセキュリティ強化は、異なったアプローチなのである。

・仮想化機能とセキュアOSの相性については？

まだ具体的に仮想化とセキュアOSの機能がぶつかり合うところはないが、仮想化技術もOSレベルで成り立つから、結局はお互いに衝突する部分が現われてくることが予想できる。しかし、お互いに競争するとか警戒する分野ではないと思う。最近の仮想化分野では管理機能が強化されているが、今後はむしろセキュアOSが仮想可技術を補完するべき部分がたくさん現われるように見える。仮想化もセキュアOSを通じてセキュリティが強化されたらもっと重要なソリューションで生まれかわることができるし, セキュアOSも仮想化技術を通じて領域が広くなることができるようなるだろう。

インタビューのまとめ

• ID管理、ログ管理などの分野とConvergence中

• セキュアOSは仮想化分野にもConvergenceを通じてお互いに補完することができること