国産仮想マシンBitVisorの近況・活用法

IT

 BitVisorは,筑波大学を中心とする研究グループが,文部科学省 科学技術振興調整費(2006〜2008年度)という研究予算の支援を受けて開発した純国産の仮想マシン(正確には仮想マシンモニタ)です.元々は高セキュリティ機能を実現することを目指して設計・開発を行いましたが,より広範な領域での活用が可能です.
 BitVisorの近況をお知らせしたいと思います.

開発現況

 科振費サポートは3年間で,2006〜2008年度末まででした.そのときの様子はこちらに記録されています.当時の研究概要,対外発表,アウトリーチ活動等の様子がそのまま残してあります.このときは文部科学省JST内閣官房情報 セキュリティセンター,富士通日立製作所NECNTTデータ総務省および同省所管(独)情報処理推進機構(NICT),経済産業省および同省所管(独)情報処理推進機構IPA)等,多くの方々の支援を受けました.

 現在は,総務省 戦略的情報通信研究開発推進制度(SCOPE)の支援を受けて,ディペンダブルなクラウドコンピューティングシステムを作るという研究プロジェクトの,クライアント側システムとして継続的に研究開発を進めています.

 なおSCOPEの研究成果のサーバー側システムは,クラウドコンピューティング基盤(IaaS, Amazon EC2のようなもの)となっており,近々(年内)にオープンソースソフトウェアとして公開予定です.

BitVisorの最新版

 BitVisorはオープンソースソフトウェアとして公開されており,最新版はこちらからソフトウェアおよび関連情報を入手できます.先月(6月4日)に最新バージョン1.1がリリースされています.

応用(1)侵入阻止システム

 以下では,BitVisorの活用法に関する事例をまとめて紹介いたしましょう.

 BitVisorは,BitVisorが提供する基本機能を利用したセキュアVMとしての活用だけでなく,ソースコードが比較的小さな規模であるという利点を活かして,仮想マシンに関する研究開発用のフレームワークとして利用することができます.
FFR社技術本部 先端技術研究部長の村上純一氏は,独自の侵入阻止システムの開発フレームワークとしてBitVisorを使用しています.

  • ハードウェアによる仮想化支援機能を利用したハイパーバイザーIPS(Black Hat Japan 2008 発表資料 PDF)
  • A Hypervisor IPS based on Hardware Assisted Virtualization Technology(Black Hat USA 2008 発表資料 PDF

 Black Hat Japan 2008での,村上氏の講演の様子はこちらにて紹介されています.

応用(2)カーネル内トレーサ

 FFR社の村上氏は,最近もまた,BitVisorを利用した別のシステムを研究開発なさっています.カーネル内で悪さをするドライバの検出をするシステムでFFR GreenKillerと名付けていらっしゃいます.

応用(3)仮想マシンモニタ保護

 セキュリティ分野で最高峰とされる国際会議の一つにIEEE Symposium on Security and Privacy(略称S&P)という会議があります.本年開催された同会議(プログラムはこちら)で,BitVisorを使用した論文が発表されています.HyperSafeという名前のシステムで,仮想マシンモニタ(仮想マシン管理ソフトウェア,略称VMM)自体を攻撃から防御するシステムです.(スライドはこちら,紹介記事はこちら).

応用(4)ゲストOS保護

 当研究室においてもBitVisorを応用した技術,システムをいくつか開発しています.その一つは,仮想マシン上で動作するゲストOSのカーネルが記録されたファイルシステムが,ウィルスによって侵食されることを防ぐシステム.
情報処理学会 OS研究会(2009年4月)
仮想マシンモニタによるゲストOSのファイル保護
 忠鉢洋輔, 品川高廣, 加藤和彦(筑波大)

応用(5) VPN障害回避

 VPN障害をVMMレベルで検知し,障害回避を,VMMレベルでの接続先変更により行なってしまうというものです.
情報処理学会OS研究会2010年1月
仮想マシンモニタを用いたVPN障害への透過的な対応手法
松橋洋平,品川高廣,加藤和彦筑波大学

応用(6) ネットワークブート・システム

 ネットワーク上のサーバにOSイメージを置いておき,ブート時にネットワーク経由でそのイメージを転送してOSブートを行うシステムをネットワークブート・システムと呼びます.これまでは,OSごとにネットワークブート機能を作成するのが普通でしたが,仮想マシンレベルでネットワークブートを行うことにより,個々のOSに依存しないネットワークブートシステムを作ることができます.これは,下記にて発表を行ないました.
情報処理学会主催 先進的計算基盤システムシンポジウム(SACSIS)2010年5月
ポスターセッション
・VMMによる透過的ネットワークブートシステム(優秀ポスター賞受賞)
 表 祐志, 品川 高廣, 加藤 和彦(筑波大)

応用(7)広告システム

 最後に,私もとても驚いた,新しい仮想マシンの使用法をご紹介.以前から共同研究を行っている,電気通信大学大山恵弘 准教授らのグループによる研究.何と,仮想マシンから広告を配信.詳細はこちら