OpenVPN&セキュリティ情報
2011-11-24
OpenVPNのオランダ政府機関での採用が決定
Fox-ITのニュースリリースから。Fox-ITはオランダのセキュリティ関連企業ですが、オランダのNetherlands National Communications Security Agency(「オランダ国家通信安全庁」とでも訳せるのでしょうか...)と共に政府機関向けへのOpenVPNの導入に向けたカスタマイズと検証を進め、カスタマイズ版(セキュリティ強化版)OpenVPNである「OpenVPN-NL」のオランダ政府機関での使用が承認されました。扱えるデータの機密レベルは「Departementaal VERTROUWELIJK(「NATO RESTRICTED」に似たレベルとのことです)」とのこと。OpenVPN-NLがOpenVPNからどのようにカスタマイズされているかについてはこちらで説明されています。
大きなカスタマイズとしては、暗号化ライブラリとしてのPolarSSLの採用と、使用できる暗号化アルゴリズムとメッセージダイジェストが限定されている(AES-256-CBCとSHA256以外は使用できなくなっている)こと、RSAとDHのビット数が制限されていることなどで、OpenVPNの柔軟性にあえて制約を加えることにより、緩いセキュリティ設定ができないようになっています。
また、重要な点として、OpenVPN-NLの配布元を限定し、フィンガープリントを公開することで、正規のOpenVPN-NL以外をインストールしないようにしています。オープンソースソフトウェアのバイナリファイルはさまざまなサイトで配布される可能性がありますが、悪意あるユーザーがソースを書き換え、細工されたバイナリファイルが配布される可能性は否定できません。そうなるとセキュリティの確保は困難になります。
OpenVPN-NLは配布元をFox-ITサイト一箇所に制限することで、この問題を回避しようとしています。
これ以外のほとんどの点はオリジナルのOpenVPNと同一で、今回カスタマイズされた点(PolarSSLへの対応など、特に機能が拡張された部分)についてはオリジナルOpenVPNのリポジトリへの反映も行われています。
ヨーロッパの政府機関では以前からオープンソースソフトウェアの導入がかなり積極的に行われており、オープンソース開発者の多くがヨーロッパ在住という調査もあります。実際、オープンソースソフトウェアの採用により、ベンダロックインの回避やコスト削減、セキュリティの向上などで効果を上げているようです。
日本でもだいぶ前から「オープンソースを活用するべきだ」という声は上がっているものの、実際に政府機関などでオープンソースソフトウェアが大規模に採用されたというニュースはあまり聞きません(もちろん、ApacheやPostfixなどは当たり前のように使われていますが...)。しかし、地方自治体での導入事例も出てきていますし、徐々に拡大の傾向は見せています。企業、行政ともあらゆる面からのコスト削減が求められるこういうときこそ、オープンソースソフトウェアの導入のチャンスとも言えるはずです。あとは安定したサービスとサポートがカギになりますね。
Profile
- 山崎 太郎 (Taro Yamazaki)
- プラムシステムズ株式会社所属。 主にVPN(OpenVPN)やセキュリティ関連技術、Webアプリケーションを手がけています。
Page Views
Popular Posts
© yamata::memo 2013 . Powered by Bootstrap , WebLyb
