レポート

Ubuntu 20.04 LTSは"フルスタックセキュリティ"なOSに ―エンタープライズへのアプローチを本格化したCanonicalの戦略

この記事を読むのに必要な時間:およそ 3 分

4月23日(英国時間⁠⁠,Canonicalは「Ubuntu 20.04 LTS(開発コード"Focal Fossa"⁠⁠」の提供を開始しました。Ubuntu 18.04以来,2年ぶりのLTS(Long Term Support: 長期サポート)版となります。

今回のリリースにおいてCanonicalは「フルスタックのセキュリティを,クラウドからエッジまで(Full Stack Security from Cloud to Edge⁠⁠」というコンセプトを掲げており,セキュリティを中心とするエンタープライズユースに特化したエンハンスをいくつも盛り込んでいます。これまでのLTS以上に,エンタープライズユーザを積極的に"獲りにいく"という姿勢が強くあらわれている印象です。

では"Fossa"ことUbuntu 20.04 LTSではエンタープライズ向けにどんな強化が図られているのでしょうか。本稿では4月23日にオンラインで実施されたCanonicalによる報道関係者向け発表会の内容をもとに,Canonical/Ubuntuのエンタープライズ戦略を概観してみます。

Ubuntu 20.04 LTSのマスコットであるフォッサはマダガスカルの森に棲む,マングースに似た食肉獣。身体と同じくらい長いしっぽが特徴

Ubuntu 20.04 LTSのマスコットであるフォッサはマダガスカルの森に棲む,マングースに似た食肉獣。身体と同じくらい長いしっぽが特徴

Ubuntuのレイヤ別セキュリティ対策状況

まず,FossaのリリースにおいてCanonicalがもっとも強調する"フルスタックセキュリティ"が意味するところから見ていきましょう。CanonicalはUbuntuが提供するセキュリティをのレイヤを以下の5つに分けています。

  • オペレーション
  • アプリケーション
  • OS
  • カーネル
  • ハードウェア/クラウド

ステファン・ファベル(Stephan Fabel)

ステファン・ファベル(Stephan Fabel)氏

このうち,下位レイヤの3つ(OS,カーネル,ハードウェア/クラウド)に関してCanonical 製品担当ディレクター ステファン・ファベル(Stephan Fabel)氏は「これまで非常に良い実績を残してきており,今回のFossaではさらにセキュリティが強化された」と強調しています。FossaはカーネルにLinux 5.4 LTSを採用しており,Linux 5.4で取り入れられたロックダウン機構などのセキュリティ実装は当然含まれていますが,加えてLinux 5.6でメインラインに統合されたVPNプロトコル「WireGuard」もビルトインサポートしています(Ubuntu 18.04 LTSへもバックポート⁠⁠。

Linux 5.6でメインラインに統合されたVPNプロトコル「WireGuard」の作者であるJason Donenfeld氏によるエンドース。Ubuntu 18.04 LTSにもバックポートされる

Linux 5.6でメインラインに統合されたVPNプロトコル「WireGuard」の作者であるJason Donenfeld氏によるエンドース。Ubuntu 18.04 LTSにもバックポートされる

また主要ソフトウェア/ファイルシステムのアップデートにともなうセキュリティの改善も進んでおり,たとえば「OpenSSH 8.2」によりFIDO/U2Fに準拠したハードウェアデバイスがサポートされるため,より安全な多要素認証が実現しています。

そしてカーネルアップデートにともない,FossaではIBM,Intel,Raspberry Pi,AMDのハードウェアサポートが大きく改善されました。ここでとくに注目したいのがIBMのメインフレーム「IBM Z」およびLinuxサーバ「IBM LinuxONE」に特化した「IBM Secure Execution Environment」のサポートです。

IBM Secure Execution Environmentはハードウェアレベルで特定のワークロードをセキュアに隔離するTEE(Trusted Execution Environment)という技術をベースにしており,IBM Z/LinuxONEでマルチテナント/ハイブリッドクラウド環境を構築する際,一部のワークロード ―たとえばブロックチェーンや機密性の高い情報を扱うデータベースを他のワークロードやハイパーバイザ(悪意ある管理者含む)からアクセスできないよう,Kubernetes(KVM上)のPODにセキュアに隔離するメカニズムです。

IBM Secure Execution Environmentをホスト/ゲストともにサポートするOSは現時点(2020年5月)ではFossaだけで,IBMの傘下企業であり,Canonicalの競合でもあるRed Hat(RHEL)ですら現状ではゲストOSのみのサポートとなっています。こうしたところにUbuntu/Canonicalのエンタープライズにおけるユニークな優位性を見ることができます。

IBMからのエンドース。FossaはIBM ZおよびLinuxONEにもっともセキュアな環境を提供する

IBMからのエンドース。FossaはIBM ZおよびLinuxONEにもっともセキュアな環境を提供する

著者プロフィール

五味明子(ごみあきこ)

IT系の出版社で編集者としてキャリアを積んだ後,2011年からフリーランスライターに。フィールドワークはオープンソースやクラウドコンピューティング,データアナリティクスなどエンタープライズITが中心。海外カンファレンス取材多め。Blog 「G3 Enterprise」やTwitter(@g3akk),Facebookで日々IT情報を発信中。

北海道札幌市出身/東京都立大学経済学部卒。

バックナンバー

2020年

  • Ubuntu 20.04 LTSは"フルスタックセキュリティ"なOSに ―エンタープライズへのアプローチを本格化したCanonicalの戦略

バックナンバー一覧