Trusted OSのその後

ずいぶんと昔になりますが、金融機関系のインターネット向けアプリケーションサーバ構築で、Firewall導入以上にセキュリティを高めたいという要望からHPのvirtualvaultというHP-UXベースのTrusted OSを導入したことがあります。
virtualvaultはＷｅｂサーバシステムに特化したTrusted OSで、仮に外部から進入してきたとしてもＯＳ内部で区画に分かれていて内部通信可能部分にはアクセスできないという仕掛けがしてあり、さらにログ領域は書き込みのみ許可され、ログ消去もできないということで、サーバアタックに対する信頼性を向上させ、内部情報を保護していたというシステムです。
ところがvirtualvaultはアクセス権限（MAC)が難しいとか、外部Ｗｅｂサーバ・内部Ｗｅｂ（Ｐｒｏｘｙ）サーバの設定がどうとか、信頼性のためにアプリケーションにいろいろ制限があり、フリーのソフトも使いづらいといった欠点がありました。また、これほどの信頼性を必要とするケースが軍事目的か金融機関くらいしかなかったので、その後発売・サポートが中止になってしまいました。

　その後、その顧客とはサポートの面も含め何の契約もなくなってしまったので、どのように扱っているか分かりませんが、同等のセキュリティを確保するには、いわゆるTrusted OSまたはセキュリティＯＳと呼ばれるものを導入するしかありません。仮に今後同様の案件が来たらどうしようと当時も考えSELinuxというものに行き当たったのですが、どうもvirtualvault以上に汎用的に作られているため設定が難しそう、導入実績も少なそう、ということで調査はそこで終了してしまったのです。

最近、ふと＠ＩＴを見ていたらSELinuxの話が掲載されていたので読んでみましたが、何かまだ頑張っているという感じだったので、ご紹介しておきます。
　WebアプリケーションシステムをFirewall導入以上により堅牢にする、となるとおそらくTrustedOS、セキュリティOS導入しか解がないと思われます。もしこの分野でお困りの方（数は少ないでしょう）は一度アクセスしてみてはいかがでしょうか。

セキュアOSの思想(＠IT）