キューブスOS

キューブスOS
Qubes OS 4.1.2 と、デフォルトのXfce DEでFedora 37、Debian 11、Whonix 16 仮想化が実行されます。
開発者Qubes OS プロジェクト

インビジブル・シングス・ラボ

ジョアンナ・ルトコフスカ
OSファミリーLinux ( Unix 系)
作業状態現在
ソースモデルオープンソースで独自のBLOBを持つ、[ 1 ] [ 2 ]
初回リリース2012年9月3日[ 3 ] (2012年9月3日
最新リリース4.3.0 [ 4 ] ウィキデータで編集する / 2025年12月21日 (2025年12月21日
マーケティングターゲット区画化によるセキュリティ、デスクトップ、ラップトップ
入手可能な多言語対応
更新方法DNF (パッケージキット)
パッケージマネージャーRPM パッケージ マネージャー
サポートされているプラ​​ットフォームx86-64
カーネルタイプマイクロカーネル(最小限のLinuxベースの OS などを実行するXenハイパーバイザー)
ユーザーランドGNU [ a ]
デフォルトのユーザーインターフェースXfce
ライセンスフリーソフトウェアライセンス(主にGPL v2 [ 7 ]
公式サイトqubes-os .org
キャッチフレーズ十分に安全なオペレーティングシステム

Qubes OSは、セキュリティを重視したデスクトップオペレーティングシステムであり、コンパートメント化によってセキュリティを実現することを目指しています。[ 8 ]コンパートメント化は仮想化技術を用いて実現されます。これにより、アプリケーションをQubesと呼ばれる安全な仮想マシンに分割することが可能になります。Qubes OSの仮想化サービスは、 Xenハイパーバイザーによって提供されます。

個々のQubeのランタイムは、通常、基盤となるオペレーティングシステムテンプレートの独自のシステムに基づいています。テンプレートは、複数のQubeで共有できる単一の不変のルートファイルシステムを提供します。このアプローチには2つの大きな利点があります。まず、特定のテンプレートの更新は、そのテンプレートに基づくすべてのQubeに自動的に「継承」されます。次に、共有テンプレートは、セキュアドメインごとに完全なオペレーティングシステムをインストールする個別のVMと比較して、ストレージ要件を大幅に削減できます。

Qubes OSの基本インストールには、 FedoraおよびDebian Linuxディストリビューションをベースにした公式サポートテンプレートが多数用意されています。コミュニティサポートのテンプレートとしては、WhonixUbuntuArch LinuxCentOSGentooなどがあります。[ 9 ]ユーザーは独自のテンプレートを作成することもできます。

Qubes OSのようなオペレーティングシステムは、学術界では統合型マルチレベルセキュア(MLS)システムと呼ばれています。[ 10 ]同様のシステムの提案もいくつか浮上しており[ 11 ] [ 12 ]SecureViewVMware vSphereは商用の競合製品です。

セキュリティ目標

セキュリティドメインスキーム

Qubesは、分離によるセキュリティ(Security by Isolation)アプローチを実装しています。[ 13 ] 完璧でバグのないデスクトップ環境は存在しないという前提に基づいています。そのような環境には、数百万行のコードと数十億ものソフトウェアハ​​ードウェアの相互作用が含まれます。これらの相互作用のいずれかに重大なバグが1つでも存在すると、悪意のあるソフトウェアがマシンを制御できるようになる可能性があります。[ 14 ] [ 15 ]

Qubes OSを使用してデスクトップを保護するには、ユーザーはさまざまな環境を分離するように注意します。そうすることで、コンポーネントの1つが侵害された場合でも、悪意のあるソフトウェアはその環境内のデータにのみアクセスできるようになります。[ 16 ]

Qubes OS では、分離は 2 つの次元で提供されます。ハードウェア コントローラーは機能ドメイン(ネットワーク ドメイン、USB コントローラー ドメインなど) に分離できますが、ユーザーのデジタル ライフは信頼レベルの異なるセキュリティ ドメインに分割されます。

例えば、仕事用ドメイン(最も信頼されている)、ショッピング用ドメイン、ランダムドメイン(信頼されていない)などです。[ 17 ]これらの各ドメインは別々のキューブで実行されます。

Qubesはデフォルトでパスワードなしのルートアクセス(例:パスワードなしのsudo )を持っています。 [ 18 ] UEFIセキュアブートはそのままではサポートされていません。Qubes OSチームはこれを大きなセキュリティ問題とは考えていません。[ 19 ] Qubesはマルチユーザーシステムではありません。[ 20 ]

インストールとシステム要件

Qubes OSはデスクトップに特化したオペレーティングシステムとして、パーソナルコンピュータのハードウェアをターゲットとしています。この市場は、IntelおよびAMDのプロセッサとチップセットを搭載したノートパソコンが主流です。

Qubes OSの 最小基本システム要件[ 21 ]は次のとおりです。

  • 仮想化拡張機能を備えた64ビットIntelまたはAMDプロセッサ[ b ]
  • 6 GBのRAM
  • 32 GBのディスク容量

ユーザーエクスペリエンス

ユーザーは、標準的なグラフィカル デスクトップ オペレーティング システムとほぼ同じ方法で Qubes OS を操作しますが、いくつかの重要な違いがあります。

  • qubes (セキュリティ ドメイン) を作成すると、共有テンプレートを使用して完全なルート ファイル システムにリンクすることにより、個別で無駄のない安全なアプリケーション スペースを作成する手段が提供されます。
  • それぞれのキューブから起動されたアプリケーションは、固有の色のウィンドウ境界によって区別されます。
  • 特定の qube でアプリケーションを初めて開くと、システム ハードウェアによっては若干の遅延が発生する可能性があります。
  • ファイルの共有[ 23 ]とクリップボード貼り付けバッファ[ 24 ]は、qubesが共通のクリップボードやファイルシステムを共有しないため、特別なメカニズムを利用します。
  • ユーザーは、特定の要件に合わせて、必要な数の qube を作成し、管理できます。

システムアーキテクチャの概要

Xenハイパーバイザーとドメイン

Xen ハイパーバイザーは、 Xen 用語ではドメインと呼ばれるホストされた仮想マシン間の強力な分離を提供します。

Xen によって開始される最初のドメインは、ドメイン 0または一般的にはdom0と呼ばれる特権管理ドメインです。

管理ドメイン: dom0

Qubes OS 4.1.2以降、dom0で実行されているオペレーティングシステムは、準仮想化Linuxカーネルを搭載したFedora Linuxです。dom0のLinuxカーネルは、標準のLinuxカーネルデバイスドライバーを介して、すべての物理システムハードウェアへのアクセスを制御および仲介します。

オペレーティングシステムはユーザーのグラフィカルデスクトップをホストし、ほとんどのハードウェアデバイスを制御します。これには、グラフィックスデバイス、USBポート、ストレージ、キーボードやマウスなどの入力デバイスが含まれます。基本的なグラフィカルデスクトップは、XサーバーXfwmウィンドウマネージャーXfceデスクトップで構成されています。

設計上、dom0はqubeとの直接的なやり取りを最小限に抑え、そこから発生する攻撃の可能性を最小限に抑えています。[ 25 ] [ 26 ]

dom0 オペレーティング システムとそれに含まれるテンプレート OS イメージの更新は、dom0 オペレーティング システムをネットワークに直接接続する必要のない特別なメカニズムを介して実行されます。

ユーザードメイン: qubes

アプリ キューブ (キューブのインスタンス) は、Web ブラウザー電子メール クライアントテキスト エディターなどの標準ユーザー アプリケーションの安全な区分化された実行を提供します。

アプリケーションキューブの動作はQube Managerによって制御されます。Qube Managerは個別のアプリケーションキューブを起動し、それらのアプリケーションをdom0のデスクトップ上に通常のプロセスウィンドウとして表示します。

このメカニズムはサンドボックスの考え方に基づいています。アプリケーションの実行、ドキュメントの閲覧などを行った後、シャットダウン時に使い捨てのファイル全体が破棄されます。[ 27 ]

Qubes OSは、すべてのアプリキューブを単一の共通デスクトップ環境に統合します。特定のプロセスにおける各アプリキューブのIDは、アプリキューブのプロパティで定義された偽造不可能な色付きウィンドウ枠によって提供されます。

dom0のディスク使用量は、複数のアプリケーションキューブが読み取り専用モードで維持される共通の「テンプレート」ルートファイルシステムイメージを共有できるようにすることで最小限に抑えられます。追加のディスクストレージは、ユーザーのアプリケーション、データ、およびVMごとの設定にのみ使用されます。

ネットワークドメイン

ネットワークメカニズムはセキュリティ攻撃に最も脆弱です。これを回避するため、ネットワークメカニズムは「ネットキューブ」と呼ばれる、特権のない別のキューブに分離されています。

Linuxカーネルベースのファイアウォールを収容するために別のファイアウォールドメインが使用されているため、ネットワークドメインが侵害された場合でも、ファイアウォールは分離され保護されたままになります(別のVM内の別のLinuxカーネルで実行されているため)。 [ 28 ]

受付

エドワード・スノーデンダニエル・J・バーンスタインクリストファー・ソゴイアンなどのセキュリティとプライバシーの専門家は、このプロジェクトを公に称賛している。[ 29 ]

ジェシー・スミスはDistroWatch WeeklyにQubes OS 3.1のレビューを寄稿した。 [ 30 ]

しかし、試用開始から2日目に、Qubesの使い方を間違っていたことに気づき、大きな衝撃を受けました。それまで私はQubesを、セキュリティを強化した通常のデスクトップOSのように、セキュリティ強化版のLinuxディストリビューションとして扱っていました。ドメイン間でファイルを共有したり、スクリーンショットを撮ったり、Domain Zeroで開いたプログラムからインターネットにアクセスしたりすることさえ難しく、すぐにイライラしてしまいました。しかし、Qubesを複数の独立したコンピュータがたまたま1つのディスプレイ画面を共有していると考えるようになってから、私の経験は大きく改善されました。各ドメインを互いに切り離された独立した島のように捉えるようになると、Qubesの使い方がずっと分かりやすくなりました。Qubesは、仮想化によって同一サーバー上で複数のOSを実行できるのとほぼ同じように、複数のドメインを1つのデスクトップにまとめます。

Linux JournalのKyle Rankinは2016年にQubes OSをレビューしました。[ 31 ]

Qubes が通常の Linux デスクトップよりも優れたセキュリティを提供している領域が数多くあることは、すでにおわかりだと思います。

2014年、Qubesは国際人権団体Access Nowが主催するAccess Innovation Prize 2014のエンドポイントセキュリティ部門のファイナリストに選出されました。[ 32 ]

参照

注記

  1. ^ Qubes OS 4.2のベース(dom0)オペレーティングシステムはFedora 37であり、 [ 5 ] GNU coreutilsを使用しています。 [ 6 ]
  2. ^ 2013年以降、Qubes OSは64ビットプロセッサのみをサポートしています。 [ 19 ]さらに、リリース4.x以降、Qubes OSには、EPTとIntel VT-dを備えたVT-xをサポートするIntelプロセッサ、またはRVI(SLAT)とAMD-Vi (別名AMD IOMMU)を備えたAMD-VをサポートするAMDプロセッサが必要です。 [ 22 ] AMD IOMMUは機能的にIntelのVT-dと同じであるため、これはAMDプロセッサにとって大きな問題ではありません。 [ 22 ]

参考文献
  1. ^ 「Qubes は GNU フリー システム配布ガイドライン (GNU FSDG) の認定を取得する予定ですか?」
  2. ^ 「Qubes OS ライセンス」
  3. ^ 「Qubes 1.0のご紹介!」 2012年9月3日。
  4. ^ 「Qubes OS 4.3.0がリリースされました!」 2025年12月21日. 2025年12月22日閲覧
  5. ^ “サポートされているリリース § Dom0” . 2025年2月24日時点のオリジナルよりアーカイブ。
  6. ^ 「Fedora CoreOS リリースノート § 37.20230401.3.0」
  7. ^ “Qubes OS のライセンス” . www.qubes-os.org
  8. ^ 「Qubes OSは強力なシステムレベルのセキュリティを内蔵」 The Register誌、2012年9月5日。
  9. ^ 「Qubes OS テンプレート」
  10. ^イッサ・アブドゥラ、マレー・トビー、アーンスト・ギドン(2018年12月4日)。「完璧なユーザーを求めて:統合型マルチレベルセキュアユーザーインターフェースのユーザビリティ理解に向けて」第30回オーストラリアコンピュータヒューマンインタラクション会議議事録。OzCHI '18:第30回オーストラリアコンピュータヒューマンインタラクション会議。メルボルン(オーストラリア): ACM Association for Computing Machinery)。p. 572576。doi 10.1145 / 3292147.3292231。ISBN 978-1-4503-6188-0. 2020年11月1日閲覧
  11. ^ Beaumont, Mark; McCarthy, Jim; Murray, Toby (2016年12月5日). 「クロスドメイン・デスクトップ・コンポジター:ハードウェアベースのビデオ合成を用いたマルチレベル・セキュア・ユーザーインターフェース」 . Proceedings of the 32nd Annual Conference on Computer Security Applications . ACSAC '16: 2016 Annual Computer Security Applications Conference. Los Angeles California USA: Association for Computing Machinery (ACM). p. 533545. doi : 10.1145/2991079.2991087 . ISBN 978-1-4503-4771-6. 2020年11月1日閲覧
  12. ^フィリヤノフ、アタナス;ナス、アイセギュル。フォルカマー、メラニー(2013年7月1日)。「ポスター: 安全な GUI の使いやすさについて」(PDF)。 p. 11. S2CID 17605611 
  13. ^ 「コンピュータセキュリティへの3つのアプローチ」 Joanna Rutkowska. 2008年9月2日.
  14. ^ 「Qubes OS:セキュリティを重視したオペレーティングシステム」 Tom's Hardware、2011年8月30日。
  15. ^ 「デジタル要塞か?」エコノミスト、2014年3月28日。
  16. ^ 「コンピューターを複数の現実に分割することでハッカーから身を守る方法」 Wired、2014年11月20日。
  17. ^ 「デジタルライフをセキュリティドメインに分割する」ジョアンナ・ルトコフスカ、2011年3月13日。
  18. ^ VM でのパスワードレス ルート アクセス
  19. ^ a b「Qubes FAQ」 . 2025年8月5日閲覧
  20. ^ Rutkowska, Joanna (2010年5月3日). 「Google グループ - Qubes をマルチユーザーシステムとして」 . Google グループ.
  21. ^ “Qubes システム要件” . 2025年1月30日時点のオリジナルよりアーカイブ。
  22. ^ a bなぜ Intel VT-d なのか?
  23. ^ 「qubes間でのファイルのコピー」 . Qubes OS . 2020年6月5日閲覧
  24. ^ 「コピー&ペースト」 . Qubes OS . 2020年6月5日閲覧
  25. ^ "GUI サブシステムを(不)信頼する" .ジョアンナ・ルトコウスカ。 2010 年 9 月 9 日。
  26. ^ "Linux セキュリティ サーカス: GUI の分離について" .ジョアンナ・ルトコウスカ。 2011 年 4 月 23 日。
  27. ^ 「Qubes、使い捨て仮想マシンを実装へ」 OSnews、2010年6月3日。
  28. ^ 「Qubes Networkingで楽しく利益を上げる」 Joanna Rutkowska. 2011年9月28日.
  29. ^ 「エンドポイント セキュリティ賞のファイナリストが発表されました!」
  30. ^ DistroWatch Weekly、第656号、2016年4月11日
  31. ^ Qubes によるセキュアデスクトップ: はじめに | Linux Journal
  32. ^ 「エンドポイントセキュリティ賞ファイナリストが発表されました!」マイケル・カーボン、2014年2月13日。
Wikimedia Commons には、Qubes OSに関連するメディアがあります。
「 https://en.wikipedia.org/w/index.php?title=Qubes_OS&oldid=1331906785」から取得