Linuxディストリビューションで、セキュリティ重視と言えば、
- QubesOS
- Whonix
- Tails
- Kali Linux
などが挙げられる。これらは、いずれもLinux初心者にとって、使いこなすことは難しいものばかり。
そんな中、比較的初心者向きで使い勝手も良い、セキュリティ重視のLinuxにPureOSがある。
しかし、PureOSは、本当に安全なOSなのか?
調べてみたところ、安全性において、PureOSは他の一般的なディストリビューションとさほど変わらないと理解できた。
Social Purpose CorporationのPurism社が開発したPureOS
はじめに、PureOSを開発した米国の企業、Purism社について、触れておかなければならない。
2014年、Purism社は”Social Purpose Corporation”として設立された。その理念は、
「自由を尊重し、プライバシーを保護し、セキュリティに重点を置いた製品とサービスを提供すること」
だ。
日本では、”Social Purpose Corporation”という言葉に馴染みはないが、米国では、社会貢献や社会的価値の向上を事業の目的にしながらも、非営利団体ではない企業があり、それら企業を”Social Purpose Corporation”という。カリフォルニア州、フロリダ州、ワシントン州では、”Social Purpose Corporation”法で定義している。
Purism社も、自社サイトにて”Social Purpose Corporation”であることを謳っているだけではなく、わざわざ会社の定款にまで書き込んで自社サイトに掲載している。そして、デジタルライフにおいて、ユーザーの自由を尊重するために、自社の製品を提供し始めた。
今日、さまざまなソーシャルメディアやブラウザは、ユーザーがアクセスするたびに個人情報を収集し、時にはそれが悪用されることがある。社名をPurism(純粋主義)とした同社は、このような利益のために情報収集するさまざまなソフトウェアに代わり、代替手段を提供することを目的にしている。
現在、同社が提供しているのはLibremというラップトップパソコンと、同ブランド名のスマートフォン。それぞれのOSに、PureOSを採用している。
ここまでのところを鑑みると、Apple社のMacのように、デバイス+OSのセットで初めて、Purism社が提唱する「Freedum, Privacy, Security」が担保されるかのようにも思える。
もう少し調べてみよう。
「PureOSは、プライバシーとセキュリティを念頭に置いて構成されていて、PureBootなどの追加テクノロジーとともに、保存データと転送中のデータの両方を保護するための安全なコンピューティングの複数のレイヤーを提供することを目的とした多層防御を実装します。(PureOSサイトより)」
この記載の中の「PureBoot」とは何か?
Purism社のサイトの「ドキュメンテーション」に、PureBootについて以下の記載がある。
「PureBootは、ピュリスムの最先端かつ完全なセキュアブートプロセスで、以下のような数々の技術を組み合わせています。
- 中和され無効化されたインテルマネージメントエンジンは、システムが起動するために絶対に必要なコードのみをMEに残します。
- CorebootはフリーソフトウェアBIOSの代替となるものです。
- トラステッドプラットフォームモジュール(TPM)チップ
- Corebootからロードされ、TPMとユーザー自身のGPGキーを使用してBIOS、カーネル、GRUB設定内の改ざんを検出する、改ざん防止用ブートソフトウェアHeads。
- Librem Key ヘッズと統合された当社のUSBセキュリティ・トークンは、簡単な「グリーンライト・グッド、レッドライト・バッド」プロセスで改ざんをユーザーに警告します(Librem Keyは、暗号化、キー管理、および改ざん検出を便利で安全にするためのUSBセキュリティトークンです)。
- Librem KeyとLUKSディスク暗号化機能を統合し、Librem Keyでディスクのロックを解除することができます。」
難しいことはわからないが、要約するとPurism社のサイトでLibrem KeyというUSBを購入し、それをパソコンに差し込んで起動することによって初めて、「PureBoot」機能を使うことができることになる。
やはり、PureOSは、Purism社のデバイスやLibrem Keyとあわせて使うことにより、プライバシーやセキュリティが守られるということになる。
PureOS単独でのセキュリティ
次に、Purism社のLibremではなく、既存のパソコンにPureOSをインストールした場合を考えてみる。
ウィキペディアによると、
PureOSとは、プライバシーとセキュリティに重点を置いた、GNU/Linuxディストリビューションである。デスクトップ環境には、GNOMEが採用されている。Purismによって維持され、同社のLibremラップトップコンピュータとLibrem 5スマートフォンで使用されている。
自由ソフトウェアのみを含むよう設計され、GNU FSDGに適合しているためフリーソフトウェア財団によって公開された完全に自由なGNU/Linuxディストリビューションのリストに含まれている。
とある。
この中の「フリーソフトウェア財団によって公開された、完全に自由なGNU/Linuxディストリビューションのリスト」では、フリーソフトウェアだけを含み、提案するとあり、もしそうではないソフトウェアを含めたり提案した場合は、開発者は即座に削除することを公約しているという。
実際のところ、GNU/Linuxディストリビューションに登録されているLinuxディストリビューションは多くはなく、10ほどである。その中に、かつてこのブログで紹介したTrisquelも含まれている。
ディストリビューションだけではない。
デバイス上で使用する各種ソフトウェア(アプリケーション)も、ベースとなるDebianの「testing」メインアーカイブからオープンソースソフトウェアパッケージがマージされるという。
デフォルトブラウザは、FireFoxをベースとした「PureBrowser」が採用され、検索エンジンは、やはりプライバシー保護を重視したDuckDuckGoを採用している。
ここまで考えると、フリーソフトウェア財団に登録されたディストリビューションのPureOSで、GNUソフトウェアのみ使用すれば、完全に監視された状態で使用することができる、ということになる。
FAQに書かれたセキュリティに関する事項
最後は、PureOS WikiにあるFAQから、セキュリティに関する記載を拾い上げてみた。Google翻訳のままの記載なので、多少日本語がおかしいかもしれない。
PureOSは、Apple、Google、またはMicrosoftデバイスに見られるような、無料ではないオペレーティングシステムよりも安全で安全な使用とWebブラウジング体験を可能にします。 LinuxカーネルおよびLinuxベースのオペレーティングシステムは、ほとんどのウイルスやマルウェアの影響を受けません。 PureOSはデフォルトでは、キー押下、場所、ソフトウェアの使用量を追跡または記録しません。 アプリの分離( Wayland )と AppArmor が有効になっているほか、セキュリティ指向の デフォルト構成 ます。
PureOSは、コンピューティングにおける最もプライベートで安全な基盤であるLinuxカーネルに基づいており、WindowsとOSXを悩ませているウイルス対策とマルウェア保護の必要性を大幅に排除します。 ただし、好みに応じて、この目的のために次のような他のソフトウェアをインストールできます。
ClamAV、ウイルス対策およびマルウェア保護ツール。
複雑でないファイアウォール。コンピューターへの接続を許可しないことで、安全を確保するのに役立ちます。これらのサービスは無料で提供され、ユーザーからの必要な入力はほとんどありません。
これらの記載から分かるように、他の一般的なLinuxディストリビューションにおけるセキュリティ対策となんら変わるものではなく、QubeOSやWhonixのような独自のセキュリティ対策があるものではない、ということがわかる。
結論:PureOSのセキュリティは他のディストロと何ら変わらない
ここまで調べた限りでは、
「PureOSのセキュリティは、他のディストロと何ら変わらない」
ということ。
ネット上では、PureOSはセキュリティに特化したLinuxディストリビューションのように紹介されている記載を見かけるが、UbuntuやDebianと変わるものではなく、セキュリティ対策は別途考えなくてはいけないものだ。
特に、上述の「LinuxカーネルおよびLinuxベースのオペレーティングシステムは、ほとんどのウイルスやマルウェアの影響を受けません。」という事実は、現時点においては完全には信用できず、他のOS同様、何らかのセキュリティ対策は必要となる。
この記事は、当ブログ内「最強セキュリティLinux – Qubes OSの使い方|ざっくりLinux!- 49」にいただいたコメントがヒントとなり、本当にPureOSが安全かどうかを検証するために調べた。
コメント