パスワードを忘れた? アカウント作成
10677537 story
セキュリティ

産総研などがPCやサーバーに装着するだけでセキュリティを強化できるハードウェアを発表 37

ストーリー by hylom
適切な設定が難しいのでは? 部門より
あるAnonymous Coward 曰く、

独立行政法人産業技術総合研究所(産総研)と技術研究組合制御システムセキュリティセンター(CSSC)が、「装着するだけで重要データを防御するセキュリティバリアデバイス(SBD)」を発表している。(プレスリリース)。

発表されたのは、マザーボードのSATAポートやUSDポート、イーサネットポートといったI/Oポートと、そこに接続するデバイスの間に接続するデバイス。今回の発表によると、「SATAポートに接続される記憶装置と本体の間にSBDを割り込ませることで、ディスクのブロック単位の保護に加えてファイル単位での読み出しや書き込みの保護を行うことに成功した」という。OSの種類を問わず、またデバイスドライバーなどのソフトウエアをインストールする必要もなくマルウェアの攻撃からデータを保護できるという。

SBDではストレージに対する読み出しや書き込みといったアクセスを中継することでセキュリティを強化するという。もしそのアクセス先領域へのアクセスが許可されていればそのまま読み書きを実行し、禁止されていればダミーデータを返したり書き込み動作をブロックしたりするという。アクセスに対する権限はバイト単位で指定できるそうだ。パソコンのOS側からSBDの存在は見えないため、マルウェアなどがそれを検知することはできないという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年02月18日 13時28分 (#2547392)

    ファイルの書き込み禁止については、Windowsで一般に使われているファイルシステムのNTFSの場合、ユーザーに当該ファイルの書き込み禁止違反の検出を知らせつつ、一旦ファイルへの書き込みを許す。そして再起動時にSBDが当該ファイルを元の内容に書き戻す。従って、システムファイルなどを書き込み禁止にしておけば、OSの起動前にそれらのファイルが復活し、システムを無事元の状態に復帰させることができる。

    http://www.aist.go.jp/aist_j/press_release/pr2014/pr20140214/pr20140214.html [aist.go.jp]
    とのことなんだけど、これって大雑把に組込システムで見られるEnhanced Write Filter [microsoft.com]をハードウエアで実装したものってことかな?
    結構みなさんボロクソにいってるけど

    制御システムおいては、ハードウエアの性能が限られていてセキュリティソフトウエアの導入が困難なことがある。また、動作検証や可用性の問題からセキュリティパッチをあてずに古いOSやアプリを使い続けるケースも多い。これらの問題に対処すべく産総研とCSSCが共同で開発を行ったのが、簡単に後付けでき、ソフトウエアのインストールが不要で、OSやアプリを問わずに重要なデータを保護する

    FPGAボードでアクセス違反を検出しているため、装着による記憶装置のアクセス速度の低下は小さく抑えられており、モーションコントロールなどのリアルタイムでの処理が必要なシステムや広い通信帯域が必要なデータサーバーなどにも対応可能

    とのことで、わりと悪くないんじゃ無いかと思うけど。
    古いシステムをどうしても使わなければならないとき、システムを固めておけるってのはそれなりに役立つのでは。
    問題はどこまで小さくできるかって所だと思う。
    最低でも3.5インチベイやPCIに刺さるぐらいのサイズでないと厳しい。できたらUSB端子で設定しておいて、HDDのポートに変換アダプタよろしく取り付けられればうれしいのだが。

    • EWFて、セキュリティのコンテキストでときどき話題に出されるけど、コマンド1つでコミットするだけで、悪い更新をシステムボリュームに定着させることが簡単にできてしまうので、malwareにとっては攻撃回避は容易。したがって、これを(環境整備という範疇を越えて)セキュリティの道具として見るのは浅はかです。

      こちらは、SATAのインターフェイス側で拾っているので、ブートセクターのウイルスなどは拾えるでしょうが、逆に、BitLockerなどの暗号化ソリューションが導入されているボリュームは検知できないでしょうね。

      親コメント
    • by Anonymous Coward

      readonly マウントで運用出来るか、
      Windows SteadyState 等で、再起動時に HDD の状態を元に戻せるか、
      P2V 後、差分ディクス運用にして、起動時に毎回スナップショットまで戻せるなら
      出番はない気がするね。

      そういう小細工が出来ないところ向けのソリューションかな?
      これ入ってるとセキュリティパッチすら適用出来ない気がするよ。

      • by Anonymous Coward on 2014年02月18日 14時06分 (#2547421)

        Windows SteadyStateはディスコンですし、readonlyマウントは直書きで回避できるだろうし、
        仮想化もVM escapeによって破られる可能性があります。

        BIOS設定のネットワークブートによって隔離する方法もありますが、BIOSを書き換えるマルウェアもあったはず。
        そう考えれば、ソフトウェアから触れない追加のハードウェアというのも割とアリな気がします。

        親コメント
    • by Anonymous Coward

      メリットは、
      特定のファイルの読み書きをOS非依存で&システムと分離されたところで行なう事でしょうか?
      でも、アクセス権限の成り済ましがあったら、どうやって判定するのでしょうか

      • by Anonymous Coward

        アクセス権限はコンセプト的にソフトウエアで制御するのでは無く、物理スイッチかなにかで設定する気がする。
        セキュリティスイッチ(物理)がオフになっていると書き込み自由、オンになっていると制限が加わるみたいな。

        で物理的にハードウエアにアクセスできなくすると言う形。
        大量に制御する場合には、最低でも独立したイーサネットポートを備えるとかするんじゃ無いかな。

    • by Anonymous Coward

      書き込み禁止の使い道は分かるけど読み込み禁止の方はどう使うものなんだろう
      絶対に読めないデータということならはじめから記録しなければいい気がするけど

      • by Anonymous Coward

        書き込みはできるが読み込みができないと言う事なら使いどころはありそう

    • by Anonymous Coward
      ハードウェア障害時にすんなり別のマシンにもっていけるのかね。
      そういったトラブル時でもきちんとデータが取り出せるかは重要な気がする。

      できるのであれば、OS以降で暗号化したディスクよりも優位かもしれない(別のマシンでは読み込めないのが逆にネックになったり。最近のはそんなことないのかな)。
    • by Anonymous Coward

      ext や FAT には別途対応とか言ってることからこのデバイスは自前で NTFS を扱えるみたいですが、マイクロソフトの方からライセンスがとか言ってこないんですかね?

  • by miyuri (33181) on 2014年02月18日 12時41分 (#2547357) 日記

    インタネットカフェ等の端末みたいに、再起動してキレイにしましょうねっていう使い方はわかるけど、どうもうんこくさい。

    • by Anonymous Coward

      装着するだけでというお手軽なイメージとは裏腹に適切な設定をしないと大崩壊

  • by s02222 (20350) on 2014年02月18日 13時01分 (#2547374)
    >パソコンのOS側からSBDの存在は見えないため、マルウェアなどがそれを検知することはできないという。

    CPUキャッシュの挙動からパスワード解析みたいなセキュリティ最前線ネタを見てると、これも負荷をかけて挙動を見張るというような何かしらの方法で検出できそうな気がする。
    • by Anonymous Coward

      それよりも返ってくるダミーデータの内容から存在を推察されたりするんじゃねーかなぁ

      つっても「そこまでわかってる攻撃者」への対抗手段としてのH/Wではないんだろうけども

    • by Anonymous Coward

      応答速度の違いからも分かりそうですし、ダミーデータのパターンから検出可能と思われ

  • 装着するだけセキュリティを強化出来るデバイスと言われてすぐ思い浮かんだのが電磁波盗聴防止のシールド。
    漏洩電磁波 [wikipedia.org]

    よく考えたらケンジントン・ロックも「装着するだけセキュリティを強化出来るデバイス」には違いないかもしれない。
  • オーディオ系のオカルトグッズみたい。

    • by minet (45149) on 2014年02月18日 12時39分 (#2547355) 日記

      いやマジでオカルト派は「これを通したデータは音質が変わる」と言い出すに違いない。

      親コメント
    • by Anonymous Coward on 2014年02月18日 12時43分 (#2547358)

      十分発達した科学技術はオカルトと区別がつかないってやつですね。

      オーディオ研究の叡智の結晶が、凡人にオカルト等と見られてしまう現状はあまりにも悲しい。ああ悲しい。

      親コメント
    • by Anonymous Coward

      昔のパソコン雑誌(のネタ増刊)の付録についてたバグ退散御札みたいなものを思い出した。

  • by Anonymous Coward on 2014年02月18日 12時37分 (#2547353)

    USDって何の略だっけ。
    Universal Serial Death?

  • by Anonymous Coward on 2014年02月18日 12時45分 (#2547360)
    ケーブルをパージする装置かと思った
  • セキュリティと引き換え?にパフォーマンスはガタ落ちしそうだけど大丈夫なのか?

    #肝心のセキュリティも怪しいもんだが
    • by Anonymous Coward

      単純な仕組みだから、パフォーマンスはそんなに落ちないってことなのかも?

      それよりも、適切な設定と運用ができるのかって方が・・・
      設定変更なども中央から一括でできるような、リモート変更とか出来るのかな?

      結局大変な作業が増えるだけで駄目かもね。
      保存してはいけない領域に大事なファイルを置いたらアフトってことだし、それを使う人が気をつけて使わないといけないってところが・・

  • ソビエトロシアではあなたがマシンを防御する!
  • by Anonymous Coward on 2014年02月18日 13時00分 (#2547371)

    初期イメージ付きのRAMドライブ+データ用パーティションをHWで実現するようなものなのかな?

  • by Anonymous Coward on 2014年02月18日 13時03分 (#2547377)

    LUKSとか使ってるとだめなんだろうか。

  • by Anonymous Coward on 2014年02月18日 13時28分 (#2547394)

    ドングルみたいなものかな

    • by Anonymous Coward

      あ、これって
      実体は従来どおりHDDやSSDにそのまま置いて
      ドングルが提供する仮想ドライブ経由でシステムファイルにアクセスするようにすれば役目的に十分なのか

  • by Anonymous Coward on 2014年02月18日 13時42分 (#2547404)

    「プシューケー」と呼ばれるプロセッサの存在が噂されて久しい。
    単にマザーボードに挿すだけで、そのマシンの性能を飛躍的に高めるなどどいう事が本当に可能なのか疑問の声も高かったが(ry

  • by Anonymous Coward on 2014年02月18日 23時31分 (#2547681)

    本文略。

  • by Anonymous Coward on 2014年02月19日 2時09分 (#2547712)
    つまり、このセキュリティバリアデバイス(SBD)に偽装したセキュリティブレークデバイス(SBD)に入れ替えればデータは抜き出し放題になるのか?
    しかも、OS側から存在は見えず、セキュリティソフトからも検知されない。
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...