BitVisor は、セキュリティ対策を主たる目的として開発された仮想マシンモニタです。デスクトップPCやノートPCなどにBitVisorを導入することで、既存の OSに特別な変更を加えることなく、ハードディスク、CD/DVD-ROM ドライブ、USBメモリの暗号化、ICカードによるID管理及びUSBやFirewireなどの物理ポートに対するアクセス制御を実現します。 BitVisorは、OS上で動作する類似ソフトウェアと異なり、これらの機能を仮想マシンモニタ内で行うことによって、ユーザーにセキュリティソフト ウェアの存在を意識させることなく、より高速に、かつ安全に動作します。BitVisorは、インテル(R) ヴァーチャライゼーション・テクノロジー(Intel VT)、及び AMD Virtualization TM (AMD-V TM) Technologyに対応するプロセッサを備えた環境にて利用することができます。
新バージョンであるVersion 1.3は、以下、新機能の追加及び性能改善が行われました。
・バックグラウンド暗号化
・64ビットゲストOS対応
・AMD-V マルチプロセッサ・マルチコア対応
・Intel VT-xのEPT、unrestricted guest、VPID対応及びAMD-VのRVI(NPT)対応による動作の
高速化
・起動時間短縮
・仮想マシンモニタからのグラフィック画面へのビットマップ描画機能
その他、BitVisorビルド時間の短縮、内部で利用するOpenSSLのアップデート、様々な機能改善及びバグフィクスが含まれます。
バッ クグラウンド暗号化は、ハードディスク暗号化処理をゲストOS利用中にバックグラウンドで行えるようにするものです。ゲストOSを利用しつつ、ハードディ スクを暗号化することにより、初期導入負担を低減し、暗号化導入をより容易にします。64ビットゲストOS対応は、近年普及しつつある64ビット環境へ BitVisorの利用範囲を広げます。AMD-V マルチプロセッサ・マルチコア対応は、マルチプロセッサ・マルチコアのAMDプロセッサでのBitVisorのパフォーマンスを改善します。(※ 1)Intel VT-xの EPT、unrestricted guest、VPID対応、AMD-Vの RVI(NPT) 対応、起動速度短縮、その他の機能改善及びバグフィックスは、BitVisorの動作速度、安定性を以前のバージョンより向上させています。また、グラ フィック画面へのビットマップ描画機能は、ゲストOSの動作と独立して、BitVisorからグラフィック画面へビットマップを描画するユニークな機能 で、BitVisorの応用範囲を広げるものです。(※2) (※3)
BitVisor1.3 のソースコードは、公式サイト(http://www.bitvisor.org)よりダウンロードすることが可能です。BitVisorのソースコード は、修正BSDライセンスにより、自由に利用可能なオープンソースとして公開されています。また、同ライセンスに基づき、自由に改変、自社製品に応用する ことが可能です。
BitVisorの用途例
業務で使用される社内/組織内に配備されるパソコン及びモバイル端末のUSBメモリ、ハードディスクの暗号化による情報漏えい対策
不特定多数が使う学校等の教室に配備されるパソコンのUSBポートを無効化し、USBメモリなどの不正な利用による情報漏えい及び不正ソフトウェア混入の防止
情報漏えい対策に大きな予算を割くことができない組織での安価な情報漏えい対策
在宅勤務用パソコン本体及び社内システムとの通信経路を強制的にVPN接続し、ユーザーにVPN接続を意識させることなく、確実に情報漏えいを防止
営業部門やフィールド部門等、外出先作業の多い業務従事者用モバイル情報端末本体及び社内システムとの通信経路を強制的にVPN接続することによる確実な情報漏えい対策
既存の暗号化による情報漏えい対策ソフトウェアでは満たせない自社独自のセキュリティシステム開発のための基盤としての利用
Intel VT、AMD-V技術を利用した新たなソフトウェア製品開発における基礎技術としての応用
BitVisor製品背景
BitVisor は、高度なセキュリティ機能を組み込んだクライアント向けの仮想マシン環境を実現します。政府が進める情報セキュリティ対策「セキュア・ジャパン」の中で 構想され、筑波大学を中心としたセキュアVMプロジェクトにおいて、一から開発が進められました。また、その成果を受け継ぎ、モバイル環境での利便性を向 上させるため、科学技術振興機構(略称JST)の競争的資金である研究成果最適展開支援プログラム(A-STEP)(※4)のシーズ顕在化タイプによる支 援(採択課題:高セキュリティを実現する仮想マシンモニタ(BitVisor)の実用化検証)を受け、東京大学情報基盤センターの研究グループ(研究責任 者:品川 高廣)とイーゲル(企業責任者:松原 克弥)により研究開発が行われました。実環境で実際に利用することができる大学発の研究開発成果として、今後も研究開発及びその成果の公開を継続します。
BitVisor製品特徴
OS非依存
Windows XP/Vista/7、Linux、FreeBSD等のOSを修正することなく利用可能
軽量
ハードウェア仮想化支援機能(Intel VT、AMD-V)を活用した仮想化オーバヘッドの最小化
(管理が必要なデバイスアクセスのみを処理するBitVisor独自の準パススルー方式)
純国産オープンソース
スクラッチから実装し、コードを公開
BitVisor基本機能
ストレージ管理
HDD、光学メディア(CD/DVD-ROM)及びUSBメモリの暗号化
ID管理
ICカードによる鍵管理・認証
ネットワーク管理
IPsecによるVPN接続の強制化
物理ポート制御
USB、Firewireなどの物理ポートへのアクセス制限
サスペンド対応
ゲストOSのスリープ動作への対応
Trusted Boot
Trusted Boot(※5)に対応し、TPM(※6)によるシステム改竄の検出に対応
※1 Yushi Omote, Yosuke Chubachi, Takahiro Shinagawa, Tomohiro Kitamura, Hideki Eiraku, Katsuya Matsubara
Hypervisor-based Background Encryption
SAC '12 Proceedings of the 27th Annual ACM Symposium on Applied Computing
Pages 1829-1836
※2 対応ハードウェアは、一部のインテル(R)社製グラフィックスコントローラーに限られます。
※3 本機能は、電気通信大学の大山研究室で行われた研究プロジェクトADvisorの成果を元に取り入れたものです。
電気通信大学 大山研究室 研究プロジェクト ADvisor:ハイパバイザに基づく広告表示システム
http://www.ol.inf.uec.ac.jp/research/advisor/
※4 独立行政法人科学技術振興機構(略称JST) 研究成果展開事業 研究成果最適展開支援プログラム(A-STEP)
http://www.jst.go.jp/a-step
※5 Trusted Boot
Trusted Bootは、起動に必要なソフトウェアの改竄をハッシュ値により検出する機構。それらのソフトウェアのハッシュ値は、TPMに保管され、その値の正当性を確認することで改竄の検出を行う。
※6 TPM(Trusted Platform Module
国際的な業界団体TCG(Trusted Computing Group)により規格策定されたセキュリティーチップ。RSA暗号、SHA-1ハッシュの生成・保管機能、乱数生成機能、内部構造解析への耐性などの機能を持つ。
本リリースにおける関連団体
株式会社イーゲル
所在地: 〒180-0006 東京都武蔵野市中町1-16-10 日本生命武蔵野ビル5F
主要業務: IT技術、システム設計・構築に関するコンサルテーションと開発業務
設立: 1998年8月13日
資本金: 11,000,000円
ホームページ:http://www.igel.co.jp
東京大学情報基盤センター情報メディア教育研究部門
所在地: 〒113-8658 東京都文京区弥生2-11-16 東京大学情報基盤センター
ホームページ:http://www.itc.u-tokyo.ac.jp/
本件に関するお問い合わせ先
担当: 株式会社イーゲル 北村、松原
TEL: 0422-50-2810
FAX: 0422-50-2811
E-mail: bitvisor@igel.co.jp
新バージョンであるVersion 1.3は、以下、新機能の追加及び性能改善が行われました。
・バックグラウンド暗号化
・64ビットゲストOS対応
・AMD-V マルチプロセッサ・マルチコア対応
・Intel VT-xのEPT、unrestricted guest、VPID対応及びAMD-VのRVI(NPT)対応による動作の
高速化
・起動時間短縮
・仮想マシンモニタからのグラフィック画面へのビットマップ描画機能
その他、BitVisorビルド時間の短縮、内部で利用するOpenSSLのアップデート、様々な機能改善及びバグフィクスが含まれます。
バッ クグラウンド暗号化は、ハードディスク暗号化処理をゲストOS利用中にバックグラウンドで行えるようにするものです。ゲストOSを利用しつつ、ハードディ スクを暗号化することにより、初期導入負担を低減し、暗号化導入をより容易にします。64ビットゲストOS対応は、近年普及しつつある64ビット環境へ BitVisorの利用範囲を広げます。AMD-V マルチプロセッサ・マルチコア対応は、マルチプロセッサ・マルチコアのAMDプロセッサでのBitVisorのパフォーマンスを改善します。(※ 1)Intel VT-xの EPT、unrestricted guest、VPID対応、AMD-Vの RVI(NPT) 対応、起動速度短縮、その他の機能改善及びバグフィックスは、BitVisorの動作速度、安定性を以前のバージョンより向上させています。また、グラ フィック画面へのビットマップ描画機能は、ゲストOSの動作と独立して、BitVisorからグラフィック画面へビットマップを描画するユニークな機能 で、BitVisorの応用範囲を広げるものです。(※2) (※3)
BitVisor1.3 のソースコードは、公式サイト(http://www.bitvisor.org)よりダウンロードすることが可能です。BitVisorのソースコード は、修正BSDライセンスにより、自由に利用可能なオープンソースとして公開されています。また、同ライセンスに基づき、自由に改変、自社製品に応用する ことが可能です。
BitVisorの用途例
業務で使用される社内/組織内に配備されるパソコン及びモバイル端末のUSBメモリ、ハードディスクの暗号化による情報漏えい対策
不特定多数が使う学校等の教室に配備されるパソコンのUSBポートを無効化し、USBメモリなどの不正な利用による情報漏えい及び不正ソフトウェア混入の防止
情報漏えい対策に大きな予算を割くことができない組織での安価な情報漏えい対策
在宅勤務用パソコン本体及び社内システムとの通信経路を強制的にVPN接続し、ユーザーにVPN接続を意識させることなく、確実に情報漏えいを防止
営業部門やフィールド部門等、外出先作業の多い業務従事者用モバイル情報端末本体及び社内システムとの通信経路を強制的にVPN接続することによる確実な情報漏えい対策
既存の暗号化による情報漏えい対策ソフトウェアでは満たせない自社独自のセキュリティシステム開発のための基盤としての利用
Intel VT、AMD-V技術を利用した新たなソフトウェア製品開発における基礎技術としての応用
BitVisor製品背景
BitVisor は、高度なセキュリティ機能を組み込んだクライアント向けの仮想マシン環境を実現します。政府が進める情報セキュリティ対策「セキュア・ジャパン」の中で 構想され、筑波大学を中心としたセキュアVMプロジェクトにおいて、一から開発が進められました。また、その成果を受け継ぎ、モバイル環境での利便性を向 上させるため、科学技術振興機構(略称JST)の競争的資金である研究成果最適展開支援プログラム(A-STEP)(※4)のシーズ顕在化タイプによる支 援(採択課題:高セキュリティを実現する仮想マシンモニタ(BitVisor)の実用化検証)を受け、東京大学情報基盤センターの研究グループ(研究責任 者:品川 高廣)とイーゲル(企業責任者:松原 克弥)により研究開発が行われました。実環境で実際に利用することができる大学発の研究開発成果として、今後も研究開発及びその成果の公開を継続します。
BitVisor製品特徴
OS非依存
Windows XP/Vista/7、Linux、FreeBSD等のOSを修正することなく利用可能
軽量
ハードウェア仮想化支援機能(Intel VT、AMD-V)を活用した仮想化オーバヘッドの最小化
(管理が必要なデバイスアクセスのみを処理するBitVisor独自の準パススルー方式)
純国産オープンソース
スクラッチから実装し、コードを公開
BitVisor基本機能
ストレージ管理
HDD、光学メディア(CD/DVD-ROM)及びUSBメモリの暗号化
ID管理
ICカードによる鍵管理・認証
ネットワーク管理
IPsecによるVPN接続の強制化
物理ポート制御
USB、Firewireなどの物理ポートへのアクセス制限
サスペンド対応
ゲストOSのスリープ動作への対応
Trusted Boot
Trusted Boot(※5)に対応し、TPM(※6)によるシステム改竄の検出に対応
※1 Yushi Omote, Yosuke Chubachi, Takahiro Shinagawa, Tomohiro Kitamura, Hideki Eiraku, Katsuya Matsubara
Hypervisor-based Background Encryption
SAC '12 Proceedings of the 27th Annual ACM Symposium on Applied Computing
Pages 1829-1836
※2 対応ハードウェアは、一部のインテル(R)社製グラフィックスコントローラーに限られます。
※3 本機能は、電気通信大学の大山研究室で行われた研究プロジェクトADvisorの成果を元に取り入れたものです。
電気通信大学 大山研究室 研究プロジェクト ADvisor:ハイパバイザに基づく広告表示システム
http://www.ol.inf.uec.ac.jp/research/advisor/
※4 独立行政法人科学技術振興機構(略称JST) 研究成果展開事業 研究成果最適展開支援プログラム(A-STEP)
http://www.jst.go.jp/a-step
※5 Trusted Boot
Trusted Bootは、起動に必要なソフトウェアの改竄をハッシュ値により検出する機構。それらのソフトウェアのハッシュ値は、TPMに保管され、その値の正当性を確認することで改竄の検出を行う。
※6 TPM(Trusted Platform Module
国際的な業界団体TCG(Trusted Computing Group)により規格策定されたセキュリティーチップ。RSA暗号、SHA-1ハッシュの生成・保管機能、乱数生成機能、内部構造解析への耐性などの機能を持つ。
本リリースにおける関連団体
株式会社イーゲル
所在地: 〒180-0006 東京都武蔵野市中町1-16-10 日本生命武蔵野ビル5F
主要業務: IT技術、システム設計・構築に関するコンサルテーションと開発業務
設立: 1998年8月13日
資本金: 11,000,000円
ホームページ:http://www.igel.co.jp
東京大学情報基盤センター情報メディア教育研究部門
所在地: 〒113-8658 東京都文京区弥生2-11-16 東京大学情報基盤センター
ホームページ:http://www.itc.u-tokyo.ac.jp/
本件に関するお問い合わせ先
担当: 株式会社イーゲル 北村、松原
TEL: 0422-50-2810
FAX: 0422-50-2811
E-mail: bitvisor@igel.co.jp