電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究

「まるちゃんの情報セキュリティ気まぐれ日記」の記事から、トラックバックしました。
内閣官房からとある委託研究報告が発表されました。

電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究

早速目を通してみました。オレンジブックなど、今では懐かしい単語がでていました。ところで、内容自体は目新しいものとは思えず、違和感も感じませんでした。何故かいうと、報告書に書かれている内容自体、メインフレームでアクセス管理に携わった経験があれば、理解し易い(というか当たり前の)内容です。Role-Base Access ontrolも、一般的な考え方であったし、ポリシーの定義やその維持管理、定期的にアクセスログの点検が重要だということも旧来から言われていたことです。メインフレームでのアクセスコントロールのノウハウがあり、継承されていれば十分に対応可能でしょう。私のようにメインフレームにエンジニア上がりには、新規なことには感じませんでした。

セキュアOSというのは、アクセスコントロールの機能をOSに直にビルドインされているのようですね。
メインフレーム(といってもIBMですが)では、アクセスコントロール機能は、OSに直接ビルドインされていません。アクセスコントロールに関するプロトコル、System Authorization Facility (SAF)が定義され、このSAFに準拠しIBM社からアクセスコントロールのためのミドルウェアとしてRACF、サードベンダーからCA-Top SecretやCA-ACF2がリリースされています。SAFに準拠すれば、アプリケーションレベルでのアクセスコントロールを容易に
実施することができます。

OSに直接アクセスコントロール機能をビルドインするのではなく、必要な機能用件とプロトコルを定め、そのインターフェースをOSの実装した方がアプリケーションの柔軟性が確保できる気がします。共通のプロトコルに従ったインターフェースをアプリケーションに側に実装すれば良いので、OS毎にアプリケーションを作るの必要がなくなります。また、複数のベンダーのOSが混在して場合も、共通のポリシーデータベースを共有可能になり、管理負荷の軽減にもなります。

メインフレームでのアクセスコントロールという貴重なノウハウがあるのですから、利用しない手はないと思いますが、なかなか難しいのでしょうね。