SlideShare una empresa de Scribd logo

2009-03-24 第3回セキュアVMシンポジウム

Takahiro Shinagawa
Takahiro Shinagawa
Tecnología
1 de 28
Descargar para leer sin conexión
2009年3月24日(火) 第3回セキュアVMシンポジウム 筑波大学 講師 品川高廣
 1.セキュアVMについて ▪ 背景,アプローチ,機能,利用イメージ  2.仮想マシンモニタ「BitVisor」について ▪ 構成,前提条件,設計方針,アーキテクチャ,利害得失  3.BitVisorの現状と今後について ▪ 各種機能の実装状況,各種デバイスへの対応状況など 2009/3/24 2
1.セキュアVMについて 2009/3/24 3
 「デスクトップ環境」からの情報漏洩 ▪ ストレージ経由(PC本体・USBメモリの紛失・盗難,…) ▪ ネットワーク経由(ウィルス感染,ファイル交換ソフト,…)  「きわどい」情報の漏洩 ▪ 自衛隊,官公庁,教育機関,病院,銀行,…  なくならない情報漏洩事件 ▪ 現在でも月平均「10件以上」発生※ ※Security NEXT 「個人情報漏洩事件一覧」より算出 2009/3/24 4
 強力なセキュリティ ▪ たとえOSが乗っ取られても大丈夫  OSからは完全に隔離された環境で動作 セキュアVM  強制的なセキュリティ OS ▪ 勝手に無効に出来ない  「ユーザ任せのセキュリティはやめたい」 (山口内閣官房情報セキュリティ補佐官談) 仮想マシンモニタ ハードウェア  持続的なセキュリティ ▪ 仮想マシンモニタは脆弱性が少ない  セキュリティアップデートの手間が軽減 2009/3/24 5
 ストレージ経由での情報漏洩  HDDやUSBメモリを強制的に暗号化 ▪ 暗号鍵はICカードに格納 ▪ ICカードが無いと情報を解読不能  ネットワーク経由での情報漏洩  ネットワーク通信を強制的に暗号化 ▪ 暗号鍵(秘密鍵)はICカードに格納 ▪ 接続先を特定のサーバに強制 2009/3/24 6
 ログイン VPN サーバ  ICカードをセットする  PINを入力する  システムの起動 PIN: ****  暗号化が解除される  VPNが接続される  ログアウト  OSを停止する カード IC Card IC Card リーダ  ICカードを抜く 2009/3/24 7
2.仮想マシンモニタ 「BitVisor」について 2009/3/24 8
 ストレージ管理 セキュアVM(仮想マシン) ▪ HDD・USBメモリの暗号化 ゲストOS  ネットワーク管理 VMM(仮想マシンモニタ) ▪ IPSecでVPN接続 ストレージ管理 ID 管理 ネットワーク管理 認証 暗号化 VPN  ID管理 鍵管理 ▪ ICカードで認証・鍵管理 VMMコア CPU・デバイス仮想化,アクセス制御  VMMコア ハードウェア ▪ CPU・デバイスの仮想化 ▪ アクセス制御 2009/3/24 9
 Windowsが動作すること  ゲストOSは変更しない  実運用を視野に入れること  政府機関での使用,オープンソース公開  開発期間・コストは限定的  約2年半弱,研究員5名, 2009/3/24 10
 VMMを出来るだけ小さくシンプルにする  VMM自身のセキュリティ向上に有効 ▪ バグの数はコード行数に比例して増加する  OSが1つ(Windows)動作すればよい  ターゲットはデスクトップ(オフィス環境) ▪ Windows 上でOffice などのアプリケーションが動作すれば十分  対応デバイスは限定してよい  オフィス環境で必要なものに絞ってサポート ▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, … 2009/3/24 11
 基本はI/Oをパススルー ゲストOS ▪ ゲストOSがデバイスを直接制御 デバイスドライバ VMM  最小限のI/Oを監視・変換 準パススルー  制御I/Oの監視 ドライバ セキュリティ ▪ デバイスの状態把握 制御I/O データI/O 機能 ▪ VMMに対するアクセス制御 監視 変換  データI/Oの変換 ▪ ストレージ・ネットワーク暗号化 ハード デバイス 2009/3/24 12
 セキュリティ向上  VMM自身の安全性が向上する ▪ VMMのサイズ削減・シンプル化できる  性能・完成度向上  仮想化のオーバーヘッドを削減できる ▪ ゲストOSのデバイスドライバを活用できる  開発コストの削減  0からの開発が現実的なコストで可能になる ▪ デバイスドライバの数を限定できる  既存の環境との親和性  既存のシステムに追加する形でインストール可能 ▪ ユーザの追加操作は必要最小限にできる 2009/3/24 13
 複数ゲストOSは同時に稼働しない  デスクトップ環境だから許容される ▪ Windowsがセキュアな環境で動作させることが目的  デバイスごとにドライバが必要  通常のドライバよりは小さい  監視対象のデバイスの分だけ用意すればよい 2009/3/24 14
ゲストOS ゲストOS ~200KLOC ~100KLOC+Domain 0 VMM (VMWare ESX Server) デバイスモデル Domain 0 ゲストOS ゲストOS リソース管理 デバイスモデル VMM ゲストOS デバイスモデル デバイスドライバ Host OS 抽象化層 リソース管理 VMM デバイスドライバ デバイスドライバ リソース管理 ハードウェア ハードウェア ハードウェア Type II VMM Type I VMM (Hypervisor) Xen ~30KLOC+Small drivers ゲストOS VMM 準パススルードライバ セキュリティ管理 ハードウェア BitVisor 2009/3/13 15
 起動時のみに必要な処理を補助  専用ゲストOS(Linuxベース)を起動 ▪ PIN入力,ICカードアクセス,暗号鍵読み込み,設定読み込み  VMMに情報受け渡し後,本来のゲストOSを起動 ▪ ヘルパーOSは終了処理の後,消去 ヘルパーOS ゲストOS PIN:**** BitVisor BitVisor ハードウェア ハードウェア 2009/3/24 16
3.BitVisorの現状と課題 2009/3/24 17
 VMMコア  CPU (Intel, AMD)  ストレージ管理  暗号化, HDD, CD-R/DVD-R, USBメモリ  ID管理  ICカード,PIN認証  ネットワーク管理  IPsec (IPv4, IPv6),NIC (Intel, Realtek) 2009/3/24 18
 仮想マシンモニタ機能  OSに頼らないセキュリティの実現 ▪ I/Oの横取り機能など  VMM自身の保護 ▪ OSが乗っ取られてもセキュリティ機能を堅持  開発状況:実装済み(約3万行)  Intel VTプロセッサで動作可能 ▪ マルチコア,64bit対応 ▪ AMD SVMでも試作版が動作  各種OSが動作可能 ▪ Windows Vista/XP, Linux, FreeBSD, … 2008/9/26 19
 ストレージ・データの暗号化機能  紛失・盗難時の情報漏洩防止 ▪ ICカード内に格納された鍵が必要  マシン間・部署間での情報共有 ▪ ICカード内に鍵を持つ人のみアクセス可能  開発状況:実装済み  AES-XTS方式(256bit)により暗号化 ▪ IEEEで標準化されたストレージ暗号化方式 2008/9/26 20
 ハードディスク(ATA)  開発状況:実装済み ▪ AHCI対応は今後の課題  CD-R/DVD-R(ATAPI)  開発状況:近日公開予定  USBメモリ  UHCI(USB1.1):実装済み  EHCI(USB2.0):近日公開予定 ▪ OHCI対応は今後の課題 2008/9/26 21
 ICカード(Type B)の管理  暗号鍵の管理 ▪ 起動時の鍵読み込み  認証 ▪ 起動時のPIN認証,VPN接続先認証  開発状況:実装済み  PIN認証,鍵の読み出し  接触型/非接触型ICカードリーダで動作 2008/9/26 22
 VPNによるネットワーク接続  ネットワークの暗号化 ▪ 通信を盗聴されない  接続先の認証 ▪ 勝手にインターネットに接続させない  開発状況:  VPN(IPsec): 実装済み(IPv4, IPv6) ▪ パスワード認証,証明書認証  NICドライバ: ▪ Intel PRO/100, PRO/1000: 実装済み ▪ Realtek RTL8169: 近日公開予定 2008/9/26 23
 AHCI  OHCI  無線LAN  IEEE1394  PCカード 2009/3/24 24
 ストレージ管理  AES-XTS(256bit)による暗号化  ATA, USBメモリ(USB1.1)に対応 ▪ CD-R/DVD-R, USB2.0 は近日対応  ID管理  起動時のPIN認証,暗号鍵の格納,VPN認証  ICカード(Type B)に対応 ▪ パスワード認証などの対応も検討中  ネットワーク管理  IPsec(IPv4, IPv6)対応  Intel PRO/100, PRO/1000対応 ▪ Realtek 8169は近日対応 2009/3/24 25
 メンテナンス体制の構築  メーリングリスト(users@bitvisor.org, devel@bitvisor.org)  内閣官房情報セキュリティセンターへの期待 ▪ NISC内部での実運用,関係省庁への導入  サポート企業登場への期待  各種管理機能との連携  リモート管理(Intel vProなど)  ICカード発行管理  未対応デバイスへの対応  AHCI, OHCI, 無線LAN, IEEE1394,PCカード,… 2009/3/24 26
 セキュアVMについて  情報漏洩を防止する仮想マシン ▪ ストレージとネットワークの暗号化  BitVisorについて  準パススルー型仮想マシンモニタ ▪ 仮想マシンモニタのサイズを小さく出来る  BitVisorの現状と課題  ストレージ管理  ID管理  ネットワーク管理 2009/3/24 27
セキュアVMプロジェクト http://www.securevm.org/ ビットバイザー http://www.bitvisor.org/ BitVisor 1.0 近日公開予定 2009/3/24 28

Recomendados

2008-03-19 第2回セキュアVMシンポジウム
2008-03-19 第2回セキュアVMシンポジウム2008-03-19 第2回セキュアVMシンポジウム
2008-03-19 第2回セキュアVMシンポジウムTakahiro Shinagawa
 
2008-11-18 セキュアVMワークショップ
2008-11-18 セキュアVMワークショップ2008-11-18 セキュアVMワークショップ
2008-11-18 セキュアVMワークショップTakahiro Shinagawa
 
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」Takahiro Shinagawa
 
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)Takahiro Shinagawa
 
Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)
Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)
Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)Kuniyasu Suzaki
 
BitVisor Summit 7「2. BitVisor 2018年の主な変更点」
BitVisor Summit 7「2. BitVisor 2018年の主な変更点」BitVisor Summit 7「2. BitVisor 2018年の主な変更点」
BitVisor Summit 7「2. BitVisor 2018年の主な変更点」BitVisor
 
物理マシンをケチる技術
物理マシンをケチる技術物理マシンをケチる技術
物理マシンをケチる技術Satoshi KOBAYASHI
 
第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...
第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...
第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...System x 部 (生!) : しすなま! @ Lenovo Enterprise Solutions Ltd.
 

Recomendados

2008-03-19 第2回セキュアVMシンポジウム
2008-03-19 第2回セキュアVMシンポジウム2008-03-19 第2回セキュアVMシンポジウム
2008-03-19 第2回セキュアVMシンポジウムTakahiro Shinagawa
 
2008-11-18 セキュアVMワークショップ
2008-11-18 セキュアVMワークショップ2008-11-18 セキュアVMワークショップ
2008-11-18 セキュアVMワークショップTakahiro Shinagawa
 
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」
2012-12-04 BitVisor Summit (公開版)「BitVisorの現状と今後」Takahiro Shinagawa
 
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)
2010-11-02 第1回クラウドコンピューティング基盤シンポジウム(品川)Takahiro Shinagawa
 
Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)
Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)
Cloud ComputingにおけるVMのセキュリティ(14/Jan/2010)Kuniyasu Suzaki
 
BitVisor Summit 7「2. BitVisor 2018年の主な変更点」
BitVisor Summit 7「2. BitVisor 2018年の主な変更点」BitVisor Summit 7「2. BitVisor 2018年の主な変更点」
BitVisor Summit 7「2. BitVisor 2018年の主な変更点」BitVisor
 
物理マシンをケチる技術
物理マシンをケチる技術物理マシンをケチる技術
物理マシンをケチる技術Satoshi KOBAYASHI
 
第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...
第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...
第21回「Windows Server 2012 DeepDive!! Hyper-V と VDI を徹底解説」(2012/10/18 on しすなま!)...System x 部 (生!) : しすなま! @ Lenovo Enterprise Solutions Ltd.
 
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張Ruo Ando
 
OSC2011 Tokyo/Fall 濃いバナ(virtio)
OSC2011 Tokyo/Fall 濃いバナ(virtio)OSC2011 Tokyo/Fall 濃いバナ(virtio)
OSC2011 Tokyo/Fall 濃いバナ(virtio)Takeshi HASEGAWA
 
Hyper-V 虎の巻
Hyper-V 虎の巻Hyper-V 虎の巻
Hyper-V 虎の巻hirookun
 
Arch rinko
Arch rinkoArch rinko
Arch rinkomasatora atarashi
 
BitVisor Summit 2 「BitVisorの現状と今後」
BitVisor Summit 2 「BitVisorの現状と今後」BitVisor Summit 2 「BitVisorの現状と今後」
BitVisor Summit 2 「BitVisorの現状と今後」Takahiro Shinagawa
 
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門VirtualTech Japan Inc.
 
Csec52 45 Ruo Ando
Csec52 45 Ruo AndoCsec52 45 Ruo Ando
Csec52 45 Ruo AndoRuo Ando
 
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」 BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」 BitVisor
 
「ハイパーバイザの作り方」読書会#1
「ハイパーバイザの作り方」読書会#1「ハイパーバイザの作り方」読書会#1
「ハイパーバイザの作り方」読書会#1Takuya ASADA
 
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」 BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」 BitVisor
 
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」Takahiro Shinagawa
 
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...milk hanakara
 
2015-11-26 BitVisor Summit 4(公開版)
2015-11-26 BitVisor Summit 4(公開版)2015-11-26 BitVisor Summit 4(公開版)
2015-11-26 BitVisor Summit 4(公開版)Takahiro Shinagawa
 
仮想化技術の基本の基本
仮想化技術の基本の基本仮想化技術の基本の基本
仮想化技術の基本の基本terada
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT deviceKentaro Mitsuyasu
 
Build secure io t gateway
Build secure io t gatewayBuild secure io t gateway
Build secure io t gatewayKentaro Mitsuyasu
 
IoTデバイスセキュリティ
IoTデバイスセキュリティIoTデバイスセキュリティ
IoTデバイスセキュリティKentaro Mitsuyasu
 
NMS300 クイックスタートガイド
NMS300 クイックスタートガイドNMS300 クイックスタートガイド
NMS300 クイックスタートガイドNETGEAR Japan
 
セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2Kentaro Mitsuyasu
 
Linux KVM環境におけるGPGPU活用最新動向
Linux KVM環境におけるGPGPU活用最新動向Linux KVM環境におけるGPGPU活用最新動向
Linux KVM環境におけるGPGPU活用最新動向Taira Hajime
 
Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311Kuniyasu Suzaki
 
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311guestec25d2
 

Más contenido relacionado

La actualidad más candente

Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張Ruo Ando
 
OSC2011 Tokyo/Fall 濃いバナ(virtio)
OSC2011 Tokyo/Fall 濃いバナ(virtio)OSC2011 Tokyo/Fall 濃いバナ(virtio)
OSC2011 Tokyo/Fall 濃いバナ(virtio)Takeshi HASEGAWA
 
Hyper-V 虎の巻
Hyper-V 虎の巻Hyper-V 虎の巻
Hyper-V 虎の巻hirookun
 
BitVisor Summit 2 「BitVisorの現状と今後」
BitVisor Summit 2 「BitVisorの現状と今後」BitVisor Summit 2 「BitVisorの現状と今後」
BitVisor Summit 2 「BitVisorの現状と今後」Takahiro Shinagawa
 
Csec52 45 Ruo Ando
Csec52 45 Ruo AndoCsec52 45 Ruo Ando
Csec52 45 Ruo AndoRuo Ando
 
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」 BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」 BitVisor
 
「ハイパーバイザの作り方」読書会#1
「ハイパーバイザの作り方」読書会#1「ハイパーバイザの作り方」読書会#1
「ハイパーバイザの作り方」読書会#1Takuya ASADA
 
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」 BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」 BitVisor
 
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」Takahiro Shinagawa
 
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...milk hanakara
 
2015-11-26 BitVisor Summit 4(公開版)
2015-11-26 BitVisor Summit 4(公開版)2015-11-26 BitVisor Summit 4(公開版)
2015-11-26 BitVisor Summit 4(公開版)Takahiro Shinagawa
 
仮想化技術の基本の基本
仮想化技術の基本の基本仮想化技術の基本の基本
仮想化技術の基本の基本terada
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT deviceKentaro Mitsuyasu
 
IoTデバイスセキュリティ
IoTデバイスセキュリティIoTデバイスセキュリティ
IoTデバイスセキュリティKentaro Mitsuyasu
 
NMS300 クイックスタートガイド
NMS300 クイックスタートガイドNMS300 クイックスタートガイド
NMS300 クイックスタートガイドNETGEAR Japan
 
セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2Kentaro Mitsuyasu
 
Linux KVM環境におけるGPGPU活用最新動向
Linux KVM環境におけるGPGPU活用最新動向Linux KVM環境におけるGPGPU活用最新動向
Linux KVM環境におけるGPGPU活用最新動向Taira Hajime
 

La actualidad más candente (20)

Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
Split device driver による仮想マシンモニタ上のセキュアOSの機能拡張
 
OSC2011 Tokyo/Fall 濃いバナ(virtio)
OSC2011 Tokyo/Fall 濃いバナ(virtio)OSC2011 Tokyo/Fall 濃いバナ(virtio)
OSC2011 Tokyo/Fall 濃いバナ(virtio)
 
Hyper-V 虎の巻
Hyper-V 虎の巻Hyper-V 虎の巻
Hyper-V 虎の巻
 
Arch rinko
Arch rinkoArch rinko
Arch rinko
 
BitVisor Summit 2 「BitVisorの現状と今後」
BitVisor Summit 2 「BitVisorの現状と今後」BitVisor Summit 2 「BitVisorの現状と今後」
BitVisor Summit 2 「BitVisorの現状と今後」
 
ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門ゼロからはじめるKVM超入門
ゼロからはじめるKVM超入門
 
Csec52 45 Ruo Ando
Csec52 45 Ruo AndoCsec52 45 Ruo Ando
Csec52 45 Ruo Ando
 
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」 BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
BitVisor Summit 8「2. BitVisor 2019年の主な変更点」
 
「ハイパーバイザの作り方」読書会#1
「ハイパーバイザの作り方」読書会#1「ハイパーバイザの作り方」読書会#1
「ハイパーバイザの作り方」読書会#1
 
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」 BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
BitVisor Summit 9「2. BitVisor 2020年の主な変更点」
 
BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」BitVisor Summit 3 「BitVisorの現状と今後」
BitVisor Summit 3 「BitVisorの現状と今後」
 
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
Infiniband hack-a-thon #2 Windows班まとめ資料 Windows Server 2012 + FDR Infinibandで...
 
2015-11-26 BitVisor Summit 4(公開版)
2015-11-26 BitVisor Summit 4(公開版)2015-11-26 BitVisor Summit 4(公開版)
2015-11-26 BitVisor Summit 4(公開版)
 
仮想化技術の基本の基本
仮想化技術の基本の基本仮想化技術の基本の基本
仮想化技術の基本の基本
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT device
 
Build secure io t gateway
Build secure io t gatewayBuild secure io t gateway
Build secure io t gateway
 
IoTデバイスセキュリティ
IoTデバイスセキュリティIoTデバイスセキュリティ
IoTデバイスセキュリティ
 
NMS300 クイックスタートガイド
NMS300 クイックスタートガイドNMS300 クイックスタートガイド
NMS300 クイックスタートガイド
 
セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2セキュアエレメントとIotデバイスセキュリティ2
セキュアエレメントとIotデバイスセキュリティ2
 
Linux KVM環境におけるGPGPU活用最新動向
Linux KVM環境におけるGPGPU活用最新動向Linux KVM環境におけるGPGPU活用最新動向
Linux KVM環境におけるGPGPU活用最新動向
 

Similar a 2009-03-24 第3回セキュアVMシンポジウム

Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311Kuniyasu Suzaki
 
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311guestec25d2
 
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティJITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティKuniyasu Suzaki
 
私立大学情報教育協会大学 情報セキュリティ研究講習会
私立大学情報教育協会大学 情報セキュリティ研究講習会私立大学情報教育協会大学 情報セキュリティ研究講習会
私立大学情報教育協会大学 情報セキュリティ研究講習会Kuniyasu Suzaki
 
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティカーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティKuniyasu Suzaki
 
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指してディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指してKazuhiko Kato
 
SCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだSCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだwind06106
 
Bitvisorをベースとした既存Windowsのドライバメモリ保護
Bitvisorをベースとした既存Windowsのドライバメモリ保護Bitvisorをベースとした既存Windowsのドライバメモリ保護
Bitvisorをベースとした既存Windowsのドライバメモリ保護Kuniyasu Suzaki
 
仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点Kuniyasu Suzaki
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編Yurika Kakiuchi
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてjunichi anno
 
2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」
2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」
2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」Takahiro Shinagawa
 
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoyaインフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 NagoyaSatoshi Shimazaki
 
トラブルから理解するHyper vの基礎
トラブルから理解するHyper vの基礎トラブルから理解するHyper vの基礎
トラブルから理解するHyper vの基礎Naoki Abe
 
第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」kazuhirokazu
 
オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視
オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視
オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視Kodai Terashima
 
Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)
Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)
Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)axsh co., LTD.
 
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編Satoshi Shimazaki
 
BHyVe: The BSD Hypervisor
BHyVe: The BSD HypervisorBHyVe: The BSD Hypervisor
BHyVe: The BSD HypervisorTakuya ASADA
 

Similar a 2009-03-24 第3回セキュアVMシンポジウム (20)

Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311Virtual Machine Security on Cloud Computing 20090311
Virtual Machine Security on Cloud Computing 20090311
 
Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311Cloud VM Security on Cloud Computingi 20090311
Cloud VM Security on Cloud Computingi 20090311
 
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティJITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
JITA(日本産業技術振興協会)講演会資料:クラウドコンピューティングにおける仮想マシンのセキュリティ
 
私立大学情報教育協会大学 情報セキュリティ研究講習会
私立大学情報教育協会大学 情報セキュリティ研究講習会私立大学情報教育協会大学 情報セキュリティ研究講習会
私立大学情報教育協会大学 情報セキュリティ研究講習会
 
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティカーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
カーネル読書会:クラウドコンピューティングにおける仮想マシンのセキュリティ
 
ディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指してディペンダブルなクラウドコンピューティング基盤を目指して
ディペンダブルなクラウドコンピューティング基盤を目指して
 
SCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだSCUGJ第18回勉強会:よろしい、ならばVMMだ
SCUGJ第18回勉強会:よろしい、ならばVMMだ
 
Bitvisorをベースとした既存Windowsのドライバメモリ保護
Bitvisorをベースとした既存Windowsのドライバメモリ保護Bitvisorをベースとした既存Windowsのドライバメモリ保護
Bitvisorをベースとした既存Windowsのドライバメモリ保護
 
仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点仮想化技術によるマルウェア対策とその問題点
仮想化技術によるマルウェア対策とその問題点
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
 
Shared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」についてShared Nothing Live Migration で重要な「委任」について
Shared Nothing Live Migration で重要な「委任」について
 
2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」
2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」
2012-08-28 アカデミッククラウドシンポジウム(公開版)「クライアント向け仮想化ソフトウェアBitVisorのクラウドへの応用」
 
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoyaインフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
 
トラブルから理解するHyper vの基礎
トラブルから理解するHyper vの基礎トラブルから理解するHyper vの基礎
トラブルから理解するHyper vの基礎
 
第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」第33回 U-20プログラミング・コンテスト 「USB Lock」
第33回 U-20プログラミング・コンテスト 「USB Lock」
 
オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視
オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視
オープンソース統合監視ソフトウェア Zabbix 2.0によるクラウド監視
 
OSC 2012 Fukuoka
OSC 2012 FukuokaOSC 2012 Fukuoka
OSC 2012 Fukuoka
 
Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)
Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)
Wakame-VDC / Open Source Conferense 2012 - Cloud (JP)
 
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
 
BHyVe: The BSD Hypervisor
BHyVe: The BSD HypervisorBHyVe: The BSD Hypervisor
BHyVe: The BSD Hypervisor
 

Último

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 

Último (8)

CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 

2009-03-24 第3回セキュアVMシンポジウム

  • 2. 1.セキュアVMについて ▪ 背景,アプローチ,機能,利用イメージ  2.仮想マシンモニタ「BitVisor」について ▪ 構成,前提条件,設計方針,アーキテクチャ,利害得失  3.BitVisorの現状と今後について ▪ 各種機能の実装状況,各種デバイスへの対応状況など 2009/3/24 2
  • 4. 「デスクトップ環境」からの情報漏洩 ▪ ストレージ経由(PC本体・USBメモリの紛失・盗難,…) ▪ ネットワーク経由(ウィルス感染,ファイル交換ソフト,…)  「きわどい」情報の漏洩 ▪ 自衛隊,官公庁,教育機関,病院,銀行,…  なくならない情報漏洩事件 ▪ 現在でも月平均「10件以上」発生※ ※Security NEXT 「個人情報漏洩事件一覧」より算出 2009/3/24 4
  • 5. 強力なセキュリティ ▪ たとえOSが乗っ取られても大丈夫  OSからは完全に隔離された環境で動作 セキュアVM  強制的なセキュリティ OS ▪ 勝手に無効に出来ない  「ユーザ任せのセキュリティはやめたい」 (山口内閣官房情報セキュリティ補佐官談) 仮想マシンモニタ ハードウェア  持続的なセキュリティ ▪ 仮想マシンモニタは脆弱性が少ない  セキュリティアップデートの手間が軽減 2009/3/24 5
  • 6. ストレージ経由での情報漏洩  HDDやUSBメモリを強制的に暗号化 ▪ 暗号鍵はICカードに格納 ▪ ICカードが無いと情報を解読不能  ネットワーク経由での情報漏洩  ネットワーク通信を強制的に暗号化 ▪ 暗号鍵(秘密鍵)はICカードに格納 ▪ 接続先を特定のサーバに強制 2009/3/24 6
  • 7. ログイン VPN サーバ  ICカードをセットする  PINを入力する  システムの起動 PIN: ****  暗号化が解除される  VPNが接続される  ログアウト  OSを停止する カード IC Card IC Card リーダ  ICカードを抜く 2009/3/24 7
  • 8. 2.仮想マシンモニタ 「BitVisor」について 2009/3/24 8
  • 9. ストレージ管理 セキュアVM(仮想マシン) ▪ HDD・USBメモリの暗号化 ゲストOS  ネットワーク管理 VMM(仮想マシンモニタ) ▪ IPSecでVPN接続 ストレージ管理 ID 管理 ネットワーク管理 認証 暗号化 VPN  ID管理 鍵管理 ▪ ICカードで認証・鍵管理 VMMコア CPU・デバイス仮想化,アクセス制御  VMMコア ハードウェア ▪ CPU・デバイスの仮想化 ▪ アクセス制御 2009/3/24 9
  • 10. Windowsが動作すること  ゲストOSは変更しない  実運用を視野に入れること  政府機関での使用,オープンソース公開  開発期間・コストは限定的  約2年半弱,研究員5名, 2009/3/24 10
  • 11. VMMを出来るだけ小さくシンプルにする  VMM自身のセキュリティ向上に有効 ▪ バグの数はコード行数に比例して増加する  OSが1つ(Windows)動作すればよい  ターゲットはデスクトップ(オフィス環境) ▪ Windows 上でOffice などのアプリケーションが動作すれば十分  対応デバイスは限定してよい  オフィス環境で必要なものに絞ってサポート ▪ HDD, USBメモリ, CD-R/DVD-R, ネットワーク, … 2009/3/24 11
  • 12. 基本はI/Oをパススルー ゲストOS ▪ ゲストOSがデバイスを直接制御 デバイスドライバ VMM  最小限のI/Oを監視・変換 準パススルー  制御I/Oの監視 ドライバ セキュリティ ▪ デバイスの状態把握 制御I/O データI/O 機能 ▪ VMMに対するアクセス制御 監視 変換  データI/Oの変換 ▪ ストレージ・ネットワーク暗号化 ハード デバイス 2009/3/24 12
  • 13. セキュリティ向上  VMM自身の安全性が向上する ▪ VMMのサイズ削減・シンプル化できる  性能・完成度向上  仮想化のオーバーヘッドを削減できる ▪ ゲストOSのデバイスドライバを活用できる  開発コストの削減  0からの開発が現実的なコストで可能になる ▪ デバイスドライバの数を限定できる  既存の環境との親和性  既存のシステムに追加する形でインストール可能 ▪ ユーザの追加操作は必要最小限にできる 2009/3/24 13
  • 14. 複数ゲストOSは同時に稼働しない  デスクトップ環境だから許容される ▪ Windowsがセキュアな環境で動作させることが目的  デバイスごとにドライバが必要  通常のドライバよりは小さい  監視対象のデバイスの分だけ用意すればよい 2009/3/24 14
  • 15. ゲストOS ゲストOS ~200KLOC ~100KLOC+Domain 0 VMM (VMWare ESX Server) デバイスモデル Domain 0 ゲストOS ゲストOS リソース管理 デバイスモデル VMM ゲストOS デバイスモデル デバイスドライバ Host OS 抽象化層 リソース管理 VMM デバイスドライバ デバイスドライバ リソース管理 ハードウェア ハードウェア ハードウェア Type II VMM Type I VMM (Hypervisor) Xen ~30KLOC+Small drivers ゲストOS VMM 準パススルードライバ セキュリティ管理 ハードウェア BitVisor 2009/3/13 15
  • 16. 起動時のみに必要な処理を補助  専用ゲストOS(Linuxベース)を起動 ▪ PIN入力,ICカードアクセス,暗号鍵読み込み,設定読み込み  VMMに情報受け渡し後,本来のゲストOSを起動 ▪ ヘルパーOSは終了処理の後,消去 ヘルパーOS ゲストOS PIN:**** BitVisor BitVisor ハードウェア ハードウェア 2009/3/24 16
  • 18. VMMコア  CPU (Intel, AMD)  ストレージ管理  暗号化, HDD, CD-R/DVD-R, USBメモリ  ID管理  ICカード,PIN認証  ネットワーク管理  IPsec (IPv4, IPv6),NIC (Intel, Realtek) 2009/3/24 18
  • 19. 仮想マシンモニタ機能  OSに頼らないセキュリティの実現 ▪ I/Oの横取り機能など  VMM自身の保護 ▪ OSが乗っ取られてもセキュリティ機能を堅持  開発状況:実装済み(約3万行)  Intel VTプロセッサで動作可能 ▪ マルチコア,64bit対応 ▪ AMD SVMでも試作版が動作  各種OSが動作可能 ▪ Windows Vista/XP, Linux, FreeBSD, … 2008/9/26 19
  • 20. ストレージ・データの暗号化機能  紛失・盗難時の情報漏洩防止 ▪ ICカード内に格納された鍵が必要  マシン間・部署間での情報共有 ▪ ICカード内に鍵を持つ人のみアクセス可能  開発状況:実装済み  AES-XTS方式(256bit)により暗号化 ▪ IEEEで標準化されたストレージ暗号化方式 2008/9/26 20
  • 21. ハードディスク(ATA)  開発状況:実装済み ▪ AHCI対応は今後の課題  CD-R/DVD-R(ATAPI)  開発状況:近日公開予定  USBメモリ  UHCI(USB1.1):実装済み  EHCI(USB2.0):近日公開予定 ▪ OHCI対応は今後の課題 2008/9/26 21
  • 22. ICカード(Type B)の管理  暗号鍵の管理 ▪ 起動時の鍵読み込み  認証 ▪ 起動時のPIN認証,VPN接続先認証  開発状況:実装済み  PIN認証,鍵の読み出し  接触型/非接触型ICカードリーダで動作 2008/9/26 22
  • 23. VPNによるネットワーク接続  ネットワークの暗号化 ▪ 通信を盗聴されない  接続先の認証 ▪ 勝手にインターネットに接続させない  開発状況:  VPN(IPsec): 実装済み(IPv4, IPv6) ▪ パスワード認証,証明書認証  NICドライバ: ▪ Intel PRO/100, PRO/1000: 実装済み ▪ Realtek RTL8169: 近日公開予定 2008/9/26 23
  • 24. AHCI  OHCI  無線LAN  IEEE1394  PCカード 2009/3/24 24
  • 25. ストレージ管理  AES-XTS(256bit)による暗号化  ATA, USBメモリ(USB1.1)に対応 ▪ CD-R/DVD-R, USB2.0 は近日対応  ID管理  起動時のPIN認証,暗号鍵の格納,VPN認証  ICカード(Type B)に対応 ▪ パスワード認証などの対応も検討中  ネットワーク管理  IPsec(IPv4, IPv6)対応  Intel PRO/100, PRO/1000対応 ▪ Realtek 8169は近日対応 2009/3/24 25
  • 26. メンテナンス体制の構築  メーリングリスト(users@bitvisor.org, devel@bitvisor.org)  内閣官房情報セキュリティセンターへの期待 ▪ NISC内部での実運用,関係省庁への導入  サポート企業登場への期待  各種管理機能との連携  リモート管理(Intel vProなど)  ICカード発行管理  未対応デバイスへの対応  AHCI, OHCI, 無線LAN, IEEE1394,PCカード,… 2009/3/24 26
  • 27. セキュアVMについて  情報漏洩を防止する仮想マシン ▪ ストレージとネットワークの暗号化  BitVisorについて  準パススルー型仮想マシンモニタ ▪ 仮想マシンモニタのサイズを小さく出来る  BitVisorの現状と課題  ストレージ管理  ID管理  ネットワーク管理 2009/3/24 27
  • 28. セキュアVMプロジェクト http://www.securevm.org/ ビットバイザー http://www.bitvisor.org/ BitVisor 1.0 近日公開予定 2009/3/24 28