組込み Linux 向けセーフリスト型セキュリティソフト EMEliminator
組込み Linux 向けセーフリスト型セキュリティソフト
EMEliminator
脆弱性対応を強化する組込み Linux 向けセキュリティソフト EMEliminator とは
近年、組込み機器・IoT デバイスの脆弱性や設定・運用の不備を悪用するマルウェアなどによるサイバー攻撃の脅威が増加しており、官公庁や企業の活動に支障をきたし、損害をもたらす事例も報告されています。運用している組込み機器・IoT デバイスが悪意あるマルウェアに感染し、サイバー攻撃に加担してしまう事例もありますし、開発・販売した組込み機器・IoT デバイスの脆弱性を突かれ、サイバー攻撃に利用されてしまう事例もあります。いずれの事例においても、発覚すれば企業運営において重篤な影響を及ぼすことは避けられません。このようなセキュリティリスクに対処するため、各々の組込み機器・IoT デバイスへのセキュリティ対策が急務となっています。
EMEliminator(イーエムエリミネーター)は、軽量性、高応答性、および簡単な導入という特徴を備えた、IoT・組込み Linux 専用のセーフリスト(ホワイトリスト・許可リスト)型セキュリティソフトウェアです。事前に許可されたアプリケーションのみが実行されるため、外部からのマルウェア攻撃に対して効果的な対策となります。万が一侵入したマルウェアが未知のものであっても有効な防御策です。この特性により、仮にシステムに脆弱性が見つかりマルウェアが侵入したとしても実行を阻止できるため、脆弱性の悪用を防ぐことができます。EMEliminator を導入しておくことにより、脆弱性への暫定的な対応は完了している状態となります。これにより、緊急性の高い脆弱性が見つかったとしても、じっくりと時間をかけて脆弱性への対策が実施できます。
EMEliminator は幅広い Linux カーネルに対応しており、コマンドやライブラリ、データファイルの改ざんも検知できます。EMEliminator を利用いただくことで、組込み機器・IoT デバイスメーカーにおいては安心・安全な製品を開発・販売でき、情報システム管理者は運用している組込み・IoT 機器に脆弱性があっても、水際で防ぐことができます。
EMEliminator は増え続けるサイバー攻撃の脅威から IoT・組込み機器を水際で守ります
1 分間でわかる EMEliminator (動画)
EMEliminator の特長
要求するディスク容量はわずか 200KB※ 程度。簡単導入で幅広い機器に導入可能
EMEliminator は、メモリ/ディスク容量の消費が少なく CPU 負荷も低いため、幅広い IoT・組込み機器でご使用いただけます。セキュリティ対策をしたいが「搭載できるメモリ/ディスクが限られている」、「システムの応答速度を落としたくない」といった悩みに対応いたします。
Linux を採用したあらゆる IoT・組込み機器に対応し、既存の機器に対してもソフトの更新で導入することができます。また、お客様に開示するソースファイルを使ってお客様自らカスタマイズを行うことも可能です。
※ セーフリストへのプログラム登録数が 1,000 エントリーの場合。
セーフリスト型のセキュリティソフトのため、限定したプログラムのみ実行で安心
Linux カーネルの標準機能(LSM※)を使用し、高性能かつ堅牢性を実現しています。事前にリスト登録されたプログラム・アプリケーションのみ実行を許可するセーフリスト型セキュリティソフトウェアは、その他のプログラムの実行や改ざんされたプログラムの実行を拒否し、システムを防護します。標準機能を利用するため、ライブラリの追加も不要です。
※ LSM(Linux Security Modules)とは、Linuxカーネルにセキュリティ機能を拡張するためのフレームワーク。LSMを利用してセキュリティモジュールを開発することで、カーネルのリビルドなしにセキュリティの機能拡張を可能にします。
処理実行時のオーバヘッドは約 0.01 秒※。ユーザーの利用を阻害しない高い応答性
EMEliminator はユーザーの負担が少ないように高い応答性を維持しています。コマンド実行時の遅延時間は、通常起動と比べてわずか約 0.01 秒※。処理実行時でも対応速度を最小限に抑えます。
※ 図内の測定環境での実測数値
セーフリスト作成はオフライン生成とオンライン生成が可能
オフライン生成機能は製品出荷前にセーフリストを作成する機能です。ディレクトリを指定すると管理コマンドがそのディレクトリ配下のファイルを探索し、自動的にセーフリストを生成します。Java のように事前にはどのファイル名で実行することになるかが判らない場合に、その実行を許可する指定をそのセーフリストをベースとして容易に作成できます。
オンライン生成機能はソフト更新のタイミングで使用できます。一部のアプリケーションのみをソフトウェアの更新対象とする場合、オンライン生成機能を利用することで、特定のアプリケーションに関するセーフリストのみを更新することが可能です。これにより、全てのセーフリストを一括で更新する必要がなく、効率的かつ正確なセーフリストの管理が実現できます。
組込み機器を構成する幅広いソフトコンポーネントを網羅
EMEliminator は実行バイナリだけでなく、Java、各種スクリプト、共有ライブラリに対しても不正な実行から保護できる柔軟で網羅性の高い対応を提供します。
Linux 開発の技術支援から保守まで 10 年の長期サポートで長期運用を支援
OSS/Linux 開発で培った知見に基づき柔軟で高度な対応を提供し、 Linux 開発の技術支援から保守まで 10 年の長期サポートで長期運用を支援します。
EMEliminator 紹介デモ動画
EMEliminator がどのように動作するのか、コンソール画面を表示して機能の詳細を動画でご紹介します。
00:23 ファイル実行保護
01:04 改ざん検知機能
02:00 インタープリター監視
02:54 監視ファイル・オフライン生成機能
04:04 実行一括許可機能
04:57 監視ファイル・学習生成機能
06:28 デバッグログ機能
06:55 確定機能
07:42 EMEliminator まとめ
セーフリスト型セキュリティソフトウェアとは?
サイバー攻撃を防ぐセキュリティ対策の手法として、「セーフリスト方式(ホワイトリスト方式)」と「ブロックリスト方式(ブラックリスト方式)」があります。
セーフリスト方式
セーフリスト方式とは、安全であると認めるプログラム・アプリケーションをリストに登録し、登録されたプログラムのみの実行を許可する方式です。新種のマルウェアも含めた、意図しない危険なプログラムの実行を防ぐことができます。
ブロックリスト方式
ブロックリスト方式とは、危険であるプログラム・アプリケーションをリストに登録し、登録されたプログラム・アプリケーションの実行を拒否する方式です。 日々新たなマルウェアなどの脅威が発生するため、リストのアップデートが必要になります。
セーフリスト機能は、セキュリティ対策を包括的にまとめた米国標準技術研究所(NIST)のセキュリティガイドライン「NIST SP800-171」や国際電気標準会議(IEC)による、制御システムにおけるセキュリティマネジメントシステムの構築のために有効となる国際標準規格「IEC62443-4-2」の中でも取り上げられている※ 重要な機能です。
※ NIST SP800-171 の構成管理 3.4.8 でセーフリスト機能での対策が言及されており、また IEC62443-4-2 の組込みデバイス要件 EDR3.2 などを満たすためにセーフリスト機能は有効。
セーフリスト型セキュリティソフトウェアによる IoT・組込み機器のマルウェア対策のメリット
- ブロックリスト型と比べて軽量なため、リソースに制約がある IoT・組込み機器に最適
- 登録されたプログラムのみの実行を許可するため、未知のマルウェアも実行を防ぐことが可能
- リストのアップデートは基本的に不要なため、IoT・組込み機器の保守・メンテナンスが容易
導入機器の例
EMEliminator は Linux OS を使用した以下のような機器に導入することができます。
複合機
医療機器
POS 端末
ATM
ネットワークカメラ
産業機器
ネットワーク機器
家電製品
EMEliminator の製品仕様
| 項目 | 内容 | |
|---|---|---|
| 機能 | セーフリスト対象 | 実行可能バイナリ、共有ライブラリ、シェルスクリプト、 通常ファイル・データ、Java、Python、Perl |
| ダイナミック ホワイトリスティング |
システム運用中に動的にセーフリスト対象の追加・変更・削除可 | |
| 性能諸元 | HDD 必要容量 | 数百 KB 程度から ※お客さま環境・運用に依存 |
| コマンド実行 | 数十ミリ秒程度のオーバヘッド | |
| 対象 | アーキテクチャ | x86(32bit/64bit)、Arm(32bit/64bit) |
| Linux バージョン | Linux Kernel 4 系以降 | |
| 動作実績ディストリビューション | EMLinux、Debian | |
製品ラインアップ・サービスメニュー
EMEliminator 導入事例
