CGX CGL およびセキュリティ

モンタビスタ CGX のセキュリティ・プロファイルには、リアクティブ/プロアクティブ双方のセキュリティ・フィーチャーが含まれており、開発者の方々は「新たな脅威」に対しても迅速に手を打つことができます。

「リアクティブ」なアプローチである、CVE パッチ、セキュア・ライブ・アップデート、モニタリングなどは、開発した「製品」がセキュアな状態にある安心感を与えてくれます。

加えて「プロアクティブ」なアプローチを取った場合には、全く新規の外部からの「攻撃」に対しても、対抗する手段を与えてくれます。モンタビスタでは更に、アプリケーションを独立してセキュアに実施できる Docker/Container や KVM もご提案しています。

日々発生・更新されるCVEのモニタリングを行うだけでなく、弊社は CVE が公開される前に先行して警戒を行うグループにも参加しています。このため、( Heartbleed や BAS といった)重要で優先度の高い CVE が発生した場合は、脆弱性に関する禁止事項が解除され次第、緊急の暫定パッチをお届けするようにしています。これによりお客様はいち早くシビリティの高い攻撃からシステムを守ることができるようになります。

IoT の分野では、堅牢な「Root of Trust」の実装、アイデンティティ・マネジメント、セキュア・キーを使った認証、不正なアプリケーションに対するリアルタイム・モニタリングなどの実装が、セキュリティ施策の鍵となります。モンタビスタ CGX のセキュリティ・プロファイルは、セキュリティ・フィーチャーをこれらの施策に合わせて実装します。
開発者は TrustZone や、 Trust Platform Module (TPM) を利用して セキュア・ブートの実装、アイデンティティ認証、セキュア・キーの管理などが行えます。また TrustZone では Trusted Execution Environment (TEE) を用いたセキュアなサンドボックスを生成することもできます。


お客様のメリットは、既知・未知の脅威に対し、先進的で堅牢なセキュリティ上の予防策をシームレスに利用できることにあります。これらは、メンテナンス・コストを削減し、製品の信頼性を向上させ、そしてセキュアな製品サプライヤーとしての評判と実績を積み上げる事に貢献します。

ロードマップを含む CGX のセキュリティ・フィーチャーの概要を以下にご案内いたします。

<プロアクティブ・アプローチ>
  • Trusted Platform Module (TPM) 1.2/2.0
  • Trustzone
  • SELinux
  • ASLR/kASLR
  • TPM Library (TrouSers)
  • Common Criteria EAL4+ Profile
  • Secure Boot
  • Mutex W/E Pages (PaX)
  • Linux IMA/EVM
  • Encryption (offload with hardware partners)
<リアクティブ・アプローチ>
  • Quarterly CVE updates
  • Samhain
  • Tripwire auditing
  • ASLR/kASLR
  • Auditd
  • Secure Update Manager

モンタビスタは以下の仕様を、最適な技術の選択およびCGXプラットフォームに実装する判断基準/ガイドとして参照しています。

  • Security Technology Implementation Guide (STIG) UNIX version 5.0 r1
  • Common Criteria Operation System Protection Profile (OSPP) version 2.0

これらの仕様に準拠あるいは取り込む事で、モンタビスタのお客様は各プロファイルに沿ったハードウェア・ソフトウェアの製品認証や、広く受け入れられているセキュリティ・スタンダードへの準拠を容易に行えるようになります。