Ubuntu 26.04 LTSのセキュリティ最新情報
by Canonical on 8 June 2026
Ubuntu 26.04 LTSは、Canonicalにとって最もセキュリティを重視したLTSリリースです。単に機能を追加しただけでなく、システムのあらゆる層で同時にセキュリティの基準を引き上げ、全体的に強化しました。しかも既存の環境を壊したり、手動での介入が増えたりすることはありません。セキュリティの心臓部、つまりデフォルト設定に注力することで、CanonicalはUbuntuのセキュリティを新しい形で強化しました。この記事では、Ubuntu 26.04 LTSの新しいセキュリティ機能について概説します。
- ハードウェアを利用し、実運用に対応する暗号化
- 量子コンピューター時代を見据えた暗号方式のデフォルト化
- ゲスト側とホスト側の両方で主要なコンフィデンシャルコンピューティング技術すべてに対応するエンタープライズグレードのサポート
- レガシーのTLSを拒否するウェブサーバー
- セキュリティ重視の部分のRust化を進め、rust-coreutilsやsudo-rsによるメモリの安全な実装をデフォルトにする
- 認証サービスはルート権限での実行を禁止
- ファームウェアとセキュアブートはエンドツーエンドで堅牢化
- 運用開始後もすべてを長く可視化、管理、監査できるコントロールプレーン
Ubuntu 26.04 LTS は、デスクトップ、サーバー、コンフィデンシャルVM、クラウドイメージ、エッジシステムでLinuxを運用する上で、今後10年間にわたってデフォルトのセキュリティレベルを大きく引き上げます。セキュリティの基盤としてUbuntuを標準採用する組織にとって、使い続ける価値のあるリリースです。
インストール時だけで終わらないセキュリティ:セキュリティセンターがコントロールプレーン
従来、重要なセキュリティ上の設定(ディスク暗号化やセキュアブートなど)は、インストール時に行われ、後で見直されることはまれでした。Ubuntu 26.04 LTS はそうではありません。
今後はセキュリティセンターが重要なプラットフォーム保護機能を可視化し、デプロイ後でも点検や管理が可能となります。たとえば管理者は以下を確認できます。
- TPMベースのフルディスク暗号化の状態
- 復元のメカニズム
- セキュアブートの状態
- ディスク保護の設定
つまり、セキュリティは最初に設定したら終わり、という時代は終わりました。セキュリティはライフサイクル全体にわたる取り組みなのです。Ubuntu 26.04 LTS はそれを可視化し、対処できるものにします。これにより管理対象となるデスクトップ群やエンタープライズ環境の死角が減り、監査が容易になります。
TPMベースのフルディスク暗号化を実世界に導入
Ubuntu 26.04 LTSでは、TPMベースのフルディスク暗号化が一般提供されます。この機能は、以前のリリースで実験用に導入されていましたが、Ubuntu 26.04 LTSでは運用上の安定性を確保し、企業での使用に対応させました。このリリースは、実運用環境で重要となる障害パターンに重点を置いています。
- ファームウェア更新時のリカバリーキー処理が予測可能となり、再起動で問題が生じる可能性がある場合は事前に表示される
- 互換性に関する既知の問題については明示的な文書化と説明が必要(Absolute/Computraceなど)
- 具体的なストレージ構成に対応するカーネルモジュールの要件が明確に定義されている
実運用に対応するとはすなわち、未定義の状態が少ない、更新中の予期しない問題が少ない、ハードウェアの境界が明確ということです。ハードウェアを使用した暗号化はもはや実験的機能ではありません。Ubuntu 26.04 LTSの最も重要なセキュリティ対策です。
コンフィデンシャルコンピューティング:SEV-SNPとTDXをホスト側とゲスト側でサポート
Ubuntu 26.04 LTSは、コンフィデンシャルクラウドインフラストラクチャの未来を担うAMD SEV-SNPとIntel TDXの両方に対して、ホスト側とゲスト側でのサポートを出荷時から完全に組み込んでいます。
これは、CPU自体によってメモリが暗号化され、完全性が保護された仮想マシンを実行できることを意味し、大きな可能性を秘めています。
他のディストリビューションが一部の機能しか持たないのに対し、Ubuntu 26.04 LTSはカーネル、ファームウェア、ツールのフルスタックを統合し、いつでも運用を開始できます。パブリッククラウドプロバイダー、規制の厳しい業界、AIワークロード、データ主権を重視する組織にとって、Ubuntuはコンフィデンシャルコンピューティングの包括的なプラットフォームとなります。
メモリ安全性対策でセキュリティコアを強化
Ubuntu 26.04 LTSは、セキュリティを重視するコンポーネントを「Rust化」するというCanonicalの取り組みを継続しています。つまり、古い実装をRustで記述したメモリの安全な実装(十分に成熟している場合)に置き換えるということです。この移行は段階的に行われます。重要なツールについてまず中間リリースで検証し、厳しい基準を満たしてからLTSに採用します。
今回のリリースでは、rust-coreutilsがシステムのコアユーティリティ、sudo-rsがデフォルトのsudo実装です。ただし互換性やフォールバックの目的で従来のGNUコアユーティリティとオリジナルのsudoも引き続き提供します。
デフォルトで最新の暗号化
Ubuntu 26.04 LTSはOpenSSH 10.2を搭載し、広範なシステム暗号化スタック(OpenSSLを含む)の更新とあわせて、古い暗号化技術を段階的に削除しています。
主な変更は以下のとおりです。
- デフォルトで量子コンピューター時代に対応するハイブリッド鍵交換(mlkem768x25519-sha256)
- DSAサポートの完全な終了
- DSAホスト鍵の生成停止
- SSHサーバーが~/.pam_environmentを読み込まないことで環境変数の注入リスクを軽減
最新の鍵交換技術を使用するために、移行設定は必要ありません。今後はデフォルトになります。
小さい範囲の権限で認証サービスやディレクトリサービスを実行
Ubuntu 26.04 LTSのセキュリティにおける最も重要な改善点のいくつかは、スクリーンショットではなくプロセステーブルに現れます。
- SSSDがルート権限ではなくsssd専用のユーザー権限で動作
- OpenLDAPはAppArmorの強制モードで動作
- PBKDF2の反復回数を調整可能とし、OpenLDAPのパスワードハッシュ設定を改善
さらにUbuntu 26.04 LTSは、認証フレームワークとしてauthdをサポートすることにより、OpenID Connectのような最新の規格を使用してクラウド型IDプロバイダーと連携できます。
このためUbuntuシステムは、DesktopとServerの両方において、多要素認証(MFA)、条件アクセスなどの新しい認証方式を、企業のID認証プラットフォームに合わせて利用できます。
認証サービスは価値の高い攻撃対象です。範囲の狭い権限で動作させ、さらに強制的に隔離することで、侵害された場合でも被害範囲を大幅に縮小します。
セキュアブートとファームウェアを堅牢化
Ubuntu 26.04 LTSは、ファームウェアコンポーネントを更新し、セキュアブートのセキュリティを強化します。
- NX(No-Execute)をすべてのセキュアブートで有効化
- 従来のstrictnxバリアントを廃止し、セキュリティを強化した統合ビルドに移行
- OVMFファームウェアパッケージとAMD SEVやIntel TDXなどの仮想化セキュリティ技術を整合
ブートの完全性はセキュリティの基盤です。この層での強化はファームウェアからユーザー空間までの信頼のチェーンを強化することになります。
ウェブとTLSのデフォルト設定が進化
Ubuntu 26.04 LTSは、中核的なウェブスタックを更新するとともに、引き続き従来のTLSを廃止しています。Apache HTTP Server 2.4.66とNginx 1.28.2を搭載し、パッケージ化したデフォルト設定も最新のセキュリティ規格に合わせています。すなわち、ApacheではTLS 1.0、TLS 1.1がデフォルトで無効、NginxではTLS 1.2、TLS 1.3がデフォルト設定です。
この変更は、これまでのLTSリリースで導入したTLSの堅牢化を踏まえており、基盤となる暗号ライブラリと当初のウェブサーバー設定の両方が、TLS 1.0、1.1を廃止したRFC 8996に常に従います。
最新のカーネルとコンテナのベースライン
Ubuntu 26.04 LTSでは、アップストリームの最新Linuxカーネルのベースラインである7.0と最新のコンテナランタイムが一致しています。セキュリティ関連の変更は次のとおりです。
- cgroupのマウントオプション強化(nsdelegate、memory_recursiveprot、memory_hugetlb_accounting)
- コンテナスタックの更新:
- containerd 2.2.1
- runc 1.4.0
- docker.io 29はnftablesバックエンドをサポート、containerdイメージストアをデフォルト設定
これにより、隔離の仕組みやコンテナの境界が現代的な基盤技術の上に構築されます。これはクラウドネイティブのワークロードにとって特に重要です。
AppArmorによるアプリケーション隔離を強化
Ubuntuは、システムの強制アクセス制御フレームワークであるAppArmorの機能拡張を通じて、アプリケーション隔離を強化しています。開発の進んでいる重要な分野の1つが、snapアプリケーションでユーザーに表示される許可確認プロンプトです。この機能の目的は、ファイル、デバイス、ネットワークインターフェイスなどの機密性の高いシステムリソースにアプリケーションがアクセスする方法を、詳細かつ透明性の高い形で制御することです。
このようなアクセスに関する判断を、より可視化し、明示的にすることで、AppArmorのプロンプト機能には、セキュリティとアプリケーションの挙動に対するユーザーの認識の両方を高める目的があります。この機能は現在、実験的機能として提供され、Ubuntu 26.04 LTSのデフォルトのセキュリティ対策にはまだ含まれていませんが、今後のUbuntuリリースにおいて、アプリケーションのサンドボックス化を厳格化し、許可モデルの説明責任を高める幅広い方向性を反映しています。
Ubuntu 26.04 LTSの強さ
UbuntuのLTSリリースは、企業、行政機関、クラウドプロバイダー、機器メーカーが長年にわたって基盤とするセキュリティのベースラインを決めるものです。Ubuntu 26.04 LTSも例外ではありません。
ここ数回のリリースで、Ubuntuはセキュリティモデルを根本から見直してきました。すなわち、最新の暗号技術の導入、信頼の基盤のハードウェア化、コアサービスの特権の廃止、セキュリティをインストール時だけの設定から実際に管理可能な場所に移すことなどです。
Ubuntu 26.04 LTSでは、このような変更が新しい標準仕様となり、安心して運用していただけます。
ニュースレターのサインアップ
関連記事
Ubuntu ProをNutanixのベアメタルKubernetesで提供
NutanixとCanonicalのパートナーシップ拡大によりコンテナ化されたワークロードの選択肢が増加 Enterprise Kubernetes®は、柔軟性の高いマルチアーキテクチャモデルへと進化しつつあります。AI/MLやデータ集約型のワークロードが膨大なハードウェアスループットを必要とする近年、組織はクラウドプラットフォームの安定性を維持しながら、ベアメタルのパフォーマンスを求めています。 このためNutanixとCanonicalは、このたび発表されたNKP Metalソリューションも含め、ベアメタルで実行するNKP(Nutanix Kubernetes Platform)インスタンスでもUbuntu Proを利用可能にしました。もともと2025年に発表されたパ […]
JammyからResoluteまで:Ubuntuのツールチェーンの進化
新しいツールチェーンのバージョン、devpack、開発体験を改善するワークフローをご紹介します。 Ubuntuのツールチェーンの進化は、単にGCC、LLVM、Pythonを提供することではありません。明確な目的を持つOpenJDKのバリアント、タスクに特化したdevpack、FIPS適合のツールチェーン、そしてsnap(新しい.NET snapやSnapcraftプラグインなど)の開発も含みます。このような改善により、これまで半日かかっていたセットアップが1〜2個のコマンドで済みます。これは、Ubuntu上でフレームワークやアプリケーションを開発する者にとって、まさに「摩擦のない」開発体験です。 このブログでは、Ubuntuの過去4年間のLTSリリースにおける変更点と今後 […]
Canonical、Ubuntu 26.04 LTS Resolute Raccoonを公開
Ubuntuの11番目のLTS(長期サポート)リリースで、エンタープライズワークロード向けにシリコンを高度に最適化し、最新のセキュリティを搭載。 Canonicalは本日、Ubuntu 26.04(コードネーム「Resolute Raccoon」)をリリースしました。jp.ubuntu.com/downloadからダウンロードとインストールが可能です。 Resolute Raccoonは、TPM(Trusted Platform Module)を使用したフルディスク暗号化、アプリケーションのアクセス許可プロンプトの改良、Arm®ベースのサーバーに対応するLivepatch更新、メモリの安全性を高めるRustベースのユーティリティにより、復元性を重視した中間リリースでの改良 […]
