Linuxのような汎用OSをベースにした組み込みOSを利用する方法があります。汎用OSにはネットワーク機能を含めさまざまな機能が備わっているので、開発の手間が省けます。組み込みLinuxの場合、多くのCPUアーキテクチャや、さまざまなハードウエアデバイスに対応しているほか、オープンソースであるためカスタマイズしやすいなどの利点もあり、多くの組み込み機器に利用されています。

　しかし、このような汎用OSをベースとした組み込みOSを利用すると、PCと同じようなネットワーク経由の攻撃やウイルスなどの脅威にさらされることになります。

　ところが組み込み機器ではPCと同じようなセキュリティー対策が取れるわけではありません。前述の通り、OSがファームウエアとしてROMなどに書き込まれていることが多いため、脆弱（ぜいじゃく）性のあるプログラムを簡単にアップデートできないのです。また24時間365日連続動作し続けるような産業分野の組み込み機器などでは、書き換えのための停止も簡単にはできません。

TOMOYO Linuxはパス名を使ったアクセス制御や自動学習などといった機能を持っているため、上述したポリシーの理解のしやすさや構築の容易さから、組み込み機器に適したセキュアOSといえます。
また、アプリケーション単位でのアクセス制御も可能であることから、必要な部分（例えばWebサービスなどの外部と通信を行う部分）のみTOMOYO Linuxでアクセス制御をかけて防御し、それ以外のアプリケーションはアクセス制御を行わずに自由に実行できるようにさせることで、ポリシーの作成量を抑え、また正常に動作しなくなるといったリスクを軽減することも可能です。
中でもTOMOYO Linuxの自動学習機能はほかのセキュアOSにはない強力な機能です。あらかじめ準備したポリシーを使えば、ほかのセキュアOSでもポリシー作成にかかる手間を省くことはできますが、組み込み機器ではその機器の用途に合わせた専用アプリケーションや処理の違いなどがあるため、どうしてもポリシー作成の工程が発生してしまいます。この場合はTOMOYO Linuxが持つ学習機能が有効になってきます。
その他、学習機能の副次的な効果として、前回の記事（http://thinkit.jp/article/992/3/）にあるようにデバッグで用いるほか、ファイルシステムの最適化が可能です。これは自動学習によって得られた結果を使い、その結果に記録されていないファイルシステム上のファイルを取り除いていくことで、ファイルシステム全体のサイズを小さくするというものです。特に資源の乏しい組み込み機器には、TOMOYO Linuxのアクセス制御を使用する・しないにかかわらず効果的でしょう。

dfltweb1.onamae.com – このドメインはお名前.comで取得されています。

社内にしっかりとしたLinux関連のサポート担当部署などがあれば、1系を使いパッチ適用していくことも可能ですが、そうでもない限り機器の信頼性確保や出荷後の製品サポートなどを行っていくのは難しいでしょう。

　「メインライン化されたもの＝素性の知れたもの」であり、それ以外は素性の知れないものというイメージがありますが、組み込み分野では信頼性を求めるために特にその傾向が強く、素性の知れないものを取り込まないようにしています（もしくはコストをかけて「素性」を知ってから取り込む場合もあるでしょう）。

　TOMOYO Linuxの2系がメインライン化されたことで、いわゆる「お墨付き」が得られたことから、組み込み分野でも安心して使えるようになったといえるでしょう。

dfltweb1.onamae.com – このドメインはお名前.comで取得されています。