国産仮想マシンBitVisorの近況・活用法
BitVisorは,筑波大学を中心とする研究グループが,文部科学省 科学技術振興調整費(2006〜2008年度)という研究予算の支援を受けて開発した純国産の仮想マシン(正確には仮想マシンモニタ)です.元々は高セキュリティ機能を実現することを目指して設計・開発を行いましたが,より広範な領域での活用が可能です.
BitVisorの近況をお知らせしたいと思います.
開発現況
科振費サポートは3年間で,2006〜2008年度末まででした.そのときの様子はこちらに記録されています.当時の研究概要,対外発表,アウトリーチ活動等の様子がそのまま残してあります.このときは文部科学省,JST,内閣官房情報 セキュリティセンター,富士通,日立製作所,NEC,NTTデータ,総務省および同省所管(独)情報処理推進機構(NICT),経済産業省および同省所管(独)情報処理推進機構(IPA)等,多くの方々の支援を受けました.
現在は,総務省 戦略的情報通信研究開発推進制度(SCOPE)の支援を受けて,ディペンダブルなクラウドコンピューティングシステムを作るという研究プロジェクトの,クライアント側システムとして継続的に研究開発を進めています.
なおSCOPEの研究成果のサーバー側システムは,クラウドコンピューティング基盤(IaaS, Amazon EC2のようなもの)となっており,近々(年内)にオープンソースソフトウェアとして公開予定です.
BitVisorの最新版
BitVisorはオープンソースソフトウェアとして公開されており,最新版はこちらからソフトウェアおよび関連情報を入手できます.先月(6月4日)に最新バージョン1.1がリリースされています.
応用(1)侵入阻止システム
以下では,BitVisorの活用法に関する事例をまとめて紹介いたしましょう.
BitVisorは,BitVisorが提供する基本機能を利用したセキュアVMとしての活用だけでなく,ソースコードが比較的小さな規模であるという利点を活かして,仮想マシンに関する研究開発用のフレームワークとして利用することができます.
FFR社技術本部 先端技術研究部長の村上純一氏は,独自の侵入阻止システムの開発フレームワークとしてBitVisorを使用しています.
- ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPS(Black Hat Japan 2008 発表資料 PDF)
- A Hypervisor IPS based on Hardware Assisted Virtualization Technology(Black Hat USA 2008 発表資料 PDF)
Black Hat Japan 2008での,村上氏の講演の様子はこちらにて紹介されています.
応用(2)カーネル内トレーサ
FFR社の村上氏は,最近もまた,BitVisorを利用した別のシステムを研究開発なさっています.カーネル内で悪さをするドライバの検出をするシステムでFFR GreenKillerと名付けていらっしゃいます.
応用(3)仮想マシンモニタ保護
セキュリティ分野で最高峰とされる国際会議の一つにIEEE Symposium on Security and Privacy(略称S&P)という会議があります.本年開催された同会議(プログラムはこちら)で,BitVisorを使用した論文が発表されています.HyperSafeという名前のシステムで,仮想マシンモニタ(仮想マシン管理ソフトウェア,略称VMM)自体を攻撃から防御するシステムです.(スライドはこちら,紹介記事はこちら).
応用(4)ゲストOS保護
当研究室においてもBitVisorを応用した技術,システムをいくつか開発しています.その一つは,仮想マシン上で動作するゲストOSのカーネルが記録されたファイルシステムが,ウィルスによって侵食されることを防ぐシステム.
情報処理学会 OS研究会(2009年4月)
・仮想マシンモニタによるゲストOSのファイル保護
忠鉢洋輔, 品川高廣, 加藤和彦(筑波大)
応用(5) VPN障害回避
VPN障害をVMMレベルで検知し,障害回避を,VMMレベルでの接続先変更により行なってしまうというものです.
情報処理学会OS研究会2010年1月
・仮想マシンモニタを用いたVPN障害への透過的な対応手法
松橋洋平,品川高廣,加藤和彦(筑波大学)
応用(6) ネットワークブート・システム
ネットワーク上のサーバにOSイメージを置いておき,ブート時にネットワーク経由でそのイメージを転送してOSブートを行うシステムをネットワークブート・システムと呼びます.これまでは,OSごとにネットワークブート機能を作成するのが普通でしたが,仮想マシンレベルでネットワークブートを行うことにより,個々のOSに依存しないネットワークブートシステムを作ることができます.これは,下記にて発表を行ないました.
情報処理学会主催 先進的計算基盤システムシンポジウム(SACSIS)2010年5月
ポスターセッション
・VMMによる透過的ネットワークブートシステム(優秀ポスター賞受賞)
表 祐志, 品川 高廣, 加藤 和彦(筑波大)