図 セキュアVMはハードウエアとOSの間でセキュリティ機能を提供し,OSの機能を制限したり,入出力や通信を暗号化する
図 セキュアVMはハードウエアとOSの間でセキュリティ機能を提供し,OSの機能を制限したり,入出力や通信を暗号化する
[画像のクリックで拡大表示]

 セキュアVMとは,内閣官房情報セキュリティセンターが開発に着手したセキュリティ対策のための仮想マシンOSのことである。パソコンの上に,セキュリティ機能を装備した仮想パソコンを実現し,IDで認証したユーザーや利用環境に応じて通信とファイルの入出力を強制的に暗号化する。これまでとまったく同じOSやアプリケーションを使いながら,情報を安全にやりとりできるようになるのがミソだ。

 セキュアVMでは,情報漏えいを防ぐ基本的なセキュリティ機能を,WindowsやLinuxといったOSに依存せずに提供することを目的としている。そのために,セキュアVMではWindowsやLinuxといった既存OSを動かすためのセキュアな仮想マシン(VM:virtual machine)環境を実現する。セキュアVMが提供する機能は,ID管理,ネットワーク管理,ファイル管理の三つである(図)。

 ID管理は,利用するユーザーや目的をOSの起動前に認証する機能だ。IDごとに利用環境を制御し,必要に応じて通信やファイル入出力を暗号化する。例えば,業務用のIDでログインした場合は,ファイル入出力や通信をすべて暗号化し,インターネット・アクセスはさせない─といった制御をする。

 セキュアVMで暗号化した通信はセキュアVM同士でのみやりとりできる。暗号化した仮想ネットワークを作るわけだ。セキュアVM以外のパソコンに盗聴されても,解読されることはない。

 同様にセキュアVMで暗号化されたファイルが収められたUSBメモリーやハードディスクを手に入れても,中身は読み取れない。仮にパソコンごと盗まれても,セキュアVMで管理しているIDでログインしないと読み出せない。

 セキュアVMでは,複数の仮想マシン環境を同時に稼働させることも可能だ。例えば1台のパソコンで,業務用とは別にインターネット・アクセス用のIDを用意すれば,万一インターネット・アクセスでウイルスに感染しても,業務への波及は防げる。

 セキュリティを確保するための仮想マシンというアイデアは,すでにマイクロソフトなどが提唱している。あえて政府が開発に乗り出したのは,特定ベンダーに依存せずにセキュリティを確保するため。将来,官庁や政府機関で使用することを目指して,2008年度までに実証テスト版を開発するという。