純国産フルスクラッチ、オープンソースのセキュアVMに注目

純国産フルスクラッチのオープンソースVM

「BitVisor」の大きな特徴は、既存ソフトウェアの転用技術ではなく、同プロジェクトがゼロからコードを書き上げたフルスクラッチである点だ。

しかし、直接開発に携わった研究員はわずか5人。さらに啓発活動など別の活動を平行しながらの作業で、時間的な制約も大きかった。加藤教授によれば、当初、時間やコスト、限られた人員など、科せられた制約からフルスクラッチによるソフト開発について、困難であるとの意見も多かったという。

そのなかで目標達成までこぎつけた背景には、同大講師の品川高廣氏やLilyVMの開発を手がけた榮樂英樹氏の参加、さらに企業からの出向で優秀な研究員を受け入れることができたことなど、人材面に恵まれたことが大きかったと加藤教授は語っている。

筑波大学教授の加藤氏（左）と同大講師の品川氏（右）

そこまでして同プロジェクトが、フルスクラッチにこだわった理由のひとつは、メインテナンスが国内で完結することだ。

昨今、Windowsをはじめソフトウェアの多くが海外で開発されているが、ソースコードが公開されていなかったり、著作権の問題から内部動作へ手出しが難しく、脆弱性へ対応するにも自由に行えないといった事情がある。今回、みずからコードを書き上げることで、国内で問題を解決できるソフトウェアを目指した。

開発期間やリソースの制限があるなか、採用した仮想化技術は、ゲストOSの機能を活かす準透過型モデル。ゲストOSのドライバを活用できるため、グラフィックドライバなどの開発が不要だった。シンプルなソースコードをめざし、約3万行に抑えている。コードがシンプルゆえに、バグが出にくく、メンテナンスが容易という利点もある。

BitVisorでは準透過型モデルを採用

また単なるコンセプトモデルとしてではなく、実際に政府が利用することを想定した上で、「Windows XP」や「同Vista」などをサポート。監視対象とする場合はドライバが必要となるため、主要なドライバを用意している。

（Security NEXT - 2009/03/30 ） ツイート

PR

関連記事

「FortiOS」にバッファオーバーフローの脆弱性 - アップデートで修正
「Adobe ColdFusion」に緊急性高いRCE脆弱性 - 依存関係に起因
Google、「Chrome 144」をリリース - 脆弱性10件を解消
2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
外部アプリ保有の会員情報が流出、原因など調査 - スマレジ
複数関連サイトで改ざん被害、一時外部に誘導 - 都教組
東京デフリンピックの審判員一覧や承諾書を紛失 - 都スポーツ文化事業団
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
「Apache Struts」にXXE脆弱性 - 修正版がリリース