JP2001337864A - アクセス制御システム - Google Patents

アクセス制御システム

Info

Publication number
JP2001337864A
JP2001337864A JP2000300561A JP2000300561A JP2001337864A JP 2001337864 A JP2001337864 A JP 2001337864A JP 2000300561 A JP2000300561 A JP 2000300561A JP 2000300561 A JP2000300561 A JP 2000300561A JP 2001337864 A JP2001337864 A JP 2001337864A
Authority
JP
Japan
Prior art keywords
processing unit
access
program
file
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000300561A
Other languages
English (en)
Other versions
JP4177957B2 (ja
JP2001337864A5 (ja
Inventor
Masato Arai
正人 荒井
Hitaka Matsumoto
日高 松本
Toshinori Kajiura
敏範 梶浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2000300561A priority Critical patent/JP4177957B2/ja
Publication of JP2001337864A publication Critical patent/JP2001337864A/ja
Publication of JP2001337864A5 publication Critical patent/JP2001337864A5/ja
Application granted granted Critical
Publication of JP4177957B2 publication Critical patent/JP4177957B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】ネットワークからの侵入者がいかなるユーザー
権限を利用して不正なファイル読み出しや書き込みを試
みても、該アクセスの抑止が可能なアクセス制御システ
ム及びその方法を提供する。 【解決手段】特定のファイルへのアクセスを、特定のユ
ーザーが特定のプログラムを使用した場合に限り許可す
るといったポリシーを用いる。さらに、ポリシーをポリ
シーファイル200に登録し、ファイルI/Oフックプ
ログラム106がフックしたアクセス情報を、OS間通
信処理部108を介してセキュリティ用OS104上の
アクセス制御プログラム110に渡し、前記ポリシーに
基づいたアクセス制御を行う。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報処理装置が管
理する情報を不正なアクセスから保護する場合に好適な
アクセス制御技術に関する。
【0002】
【従来の技術】一般のコンピュータシステムでは、マル
チユーザー・マルチタスクOSが備えるユーザー認証機
構と、該認証結果に基づいたファイルアクセス制御機構
を用いて機密情報ファイルの保護を実現しているケース
が多い。具体的には、前記OSが実装された情報処理装
置を利用する際に、ユーザーは必ず自己のユーザーID
とパスワードを入力し、認証を受ける。前記情報処理装
置が管理する全てのファイル各々には、ファイルリード
やライト等のアクセスタイプ毎に、ユーザーIDとグル
ープIDを用いてアクセス可能なユーザーを定義したア
クセスコントロールリストがセキュリティ属性情報とし
て割り当てられている。ユーザーがアプリケーションプ
ログラムを介してファイルへアクセスした場合、上記O
Sは、アクセス要求元となるユーザーのID及び該ユー
ザーが所属するグループIDを、アクセス対象となるフ
ァイルに割り当てられたアクセスコントロールリストと
照合し、当該リストに前記ユーザーが含まれている場合
に限りアクセスを許可するといった制御を行なう。
【0003】一方で、インターネットを介した情報発
信、情報収集や、各種サービス提供を行なう手段として
WorldWideWeb(WWW)のサービスが広く
使われている。WWWでは、HyperTextTra
nsferProtocol(HTTP)と呼ばれる通
信プロトコルが、リクエストデータとレスポンスデータ
の転送に用いられている。また、WWWシステムではコ
ンテンツの不正な差し替えや、ネットワークを経由した
機密情報流出を未然に防ぐためのセキュリティ技術がい
くつか用意されている。
【0004】HTTPが有するセキュリティ機構とし
て、基本認証(BasicAuthenticatio
n)と呼ばれるものがある。基本認証では、認証情報と
してユーザーIDとパスワードを予めWWWサーバに登
録しておき、ブラウザを通じてユーザーから送信される
ユーザーIDとパスワードを、前記認証情報と比較して
認証を行なう。各コンテンツへのアクセス権限設定を記
述したポリシーファイルと、該ポリシーに基づくアクセ
ス制御機構も前記WWWサーバに実装されている。同様
な機構を、CommonGatewayInterfa
ce(CGI)プログラムに実装し、ユーザー認証とコ
ンテンツへのアクセス制御を実現することも可能であ
る。
【0005】WWWでは、他のセキュリティ技術とし
て、認証局から発行される証明書に基づき、ユーザーと
WWWサーバの相互認証と通信データの暗号化を行なう
ことが可能である。この技術は、消費者のクレジットカ
ード番号がネットワーク上に流れる一部のインターネッ
トショッピングのようなサービスにおいて、必須の技術
とされている。これらの技術によるユーザー(クライア
ント)認証は、WWWサーバ側のOSが具備するユーザ
ー認証機構とは通常独立したものであるが、前記認証に
用いるユーザーIDや、ユーザーの証明書を、OSが管
理するユーザーアカウントに関連付けて使用することが
できるWWWサーバプログラムもある。つまり、認証され
たユーザーは、OSのアクセス制御下でWWWコンテン
ツにアクセスする。これらのセキュリティ技術について
は、“Web Security:A Step-by-Step Reference Guid
e”Lincoln D. Stein著、Addison-Wesley Pub Co;(ISB
N:0201634899)などに記載されている。
【0006】近年増加しているインターネットサービス
プログラム等に潜むセキュリティホールやバグを利用し
た不正アクセスを解決する他の技術としては、常駐型の
ファイル監視プログラムを情報処理装置上に設け、定期
的にファイルの破壊の有無をチェックする方法が、特開
平10−069417号公報に開示されている。これと
同様の技術として、特定のファイルについてそのサイズ
の増減やタイムスタンプを定期的にチェックするプログ
ラムを情報処理装置上に設け、該ファイルの変化を検知
するツールが、シェアウエアやフリーウエアとして幾つ
か公開されている。
【0007】
【発明が解決しようとする課題】先に述べたセキュリテ
ィホールやバグに関する情報は、http://ww
w.cert.org/等で報告され、バグ修正用のプ
ログラムも各メーカーから配布されるようになってい
る。しかし、攻撃者あるいは侵入者は、あらゆる手段を
用いて外部ネットワークから情報処理装置への侵入を試
みる。たとえば、前記マルチユーザー・マルチタスクな
OSが具備するアクセス制御機構では、アクセス要求元
のユーザーIDとその所属グループに基づいてアクセス
の可否を判断しているため、OSの管理者のような強い
権限をもつユーザーに成りすまして侵入すれば、システ
ム中のいかなるファイルにもアクセスできるので、シス
テム中の情報を書き換えたり、機密情報を盗み出すこと
がてきてしまう。
【0008】また、前記ファイルの変化を定期的にチェ
ックする手法では、ファイルが改ざんされた後の検出に
なるため、不正アクセスが発生したことは分かるが、そ
れを未然に防ぐことができないと共に、ファイルの不正
な読み出しについては事後検出もできない。
【0009】また、前記WWWサーバやCGIプログラ
ムを利用してコンテンツのアクセス制御機能を実現した
システムにおいては、各コンテンツへのアクセス権限設
定を記述したポリシーファイルも、その他のファイルと
同じく不正アクセスの対象になる。したがって、該ポリ
シーファイルが破壊あるいは改ざんされた場合には、前
記アクセス制御機能が正常に働かない。
【0010】本発明の目的は、アクセス要求元(サブジ
ェクト)がいかなる権限をもつ場合でも、そのアクセス
手段およびアクセス対象(オブジェクト)を制限するこ
とが可能なアクセス制御システム及びその方法を提供す
ることにある。
【0011】本発明の他の目的は、不正なファイルアク
セスを未然に防ぐことが可能なアクセス制御システム及
びその方法を提供することにある。
【0012】本発明の他の目的は、アクセス権限設定を
記述したポリシーファイルと、該ポリシーファイルに基
づいてアクセス制御を施行するプログラムを、外部から
の不正アクセスや攻撃から保護可能なアクセス制御シス
テム及びその方法を提供することにある。
【0013】本発明の他の目的は、例えば機密情報にア
クセスしながらサービスを提供するようなアプリケーシ
ョンプログラムを、外部からの不正アクセスから保護可
能なアクセス制御システム及びその方法を提供すること
にある。
【0014】
【課題を解決するための手段】上記目的を達成するため
に、本発明では、ファイルアクセスに関するアクセス制
御ポリシーとして、より厳密にアクセス要求を特定する
情報、すなわち、アクセス要求元とアクセス実行手段と
アクセスタイプとを特定する情報を用いる。
【0015】さらに具体的には、特定のファイルへのア
クセスを、特定のユーザーが特定のプログラムを用いた
場合のみ許可するアクセス制御ポリシーを記述したポリ
シーファイルを作り、アクセス制御手段が、ファイルへ
のアクセスが発生したときに、前記ポリシーファイルの
記述に従ってアクセスの正当性すなわち可否を判定す
る。前記アクセス制御ポリシーには、アクセス対象とな
るファイルの名称と、アクセスが許可されたユーザー名
とプログラム名の組合せを、ファイルのオープン・リー
ド・ライト・削除・リネームといったアクセスタイプ毎
に予め規定しておく。
【0016】また、不正なファイルアクセスを未然に防
ぐために、本発明では、前記ファイルアクセスを監視す
るファイルI/O(Input/Output)フック
手段を前記情報処理装置に設け、該ファイルI/Oフッ
ク手段は、前記アクセスを検知した時に、当該アクセス
タイプ及びアクセス対象となるファイルの名称と、該ア
クセスの要求元となるユーザー名及びプログラム名を取
得して前記アクセス制御手段に送信する。前記アクセス
制御手段は、受信内容を前記ポリシーファイルの内容と
照合し、該ポリシーに違反するアクセスであれば当該ア
クセスを無効にし、前記ファイルI/Oフック手段を経
由して前記アクセス要求元にエラーを返す。
【0017】また、前記ポリシーファイルと前記アクセ
ス制御手段を保護するために、本発明では、1台の情報
処理装置上に2つのOSと、両OS間でデータ通信する
ためのプロセス間通信手段と、両OSが互いに排他的に
占有するメモリや磁気ディスクおよびネットワークデバ
イスを設ける。前記2つのOSのうち一方をアクセス監
視対象となるサービス用OSとして使用し前記ファイル
I/Oフック手段を前記サービス用OSのカーネルレベ
ルのモジュールとして設ける。もう一方をセキュリティ
用OSとして使用し、前記アクセス制御手段および前記
ポリシーファイルを占有する磁気ディスクに格納すると
共に、前記アクセス制御手段をプロセスとして動作さ
せ、該アクセス制御手段とポリシーファイルを前記サー
ビス用OS上の、サービスを受けるユーザが使うプロセ
スからアクセスできないようにする。
【0018】一方、よりセキュリティを高めるために、
機密情報を取り扱うようなアプリケーションプログラム
(以後、機密プログラムと称す)とのプロセス間通信に
関するアクセス制御ポリシーとして、より厳密にアクセ
ス要求を特定する情報、すなわち、アクセス要求元とア
クセス実行手段とを特定する情報を用いてもよい。具体
的には、特定の機密プログラムとのプロセス間通信を、
特定のユーザーが特定のプログラムを用いた場合のみ許
可するアクセス制御ポリシーを記述したポリシーファイ
ルを作り、複数のアプリケーションプログラム間で通信
が発生したときに、プロセス間通信手段が当該通信を検
知してアクセス制御手段に通知し、アクセス制御手段が
前記ポリシーファイルの記述に従って通信の正当性すな
わち可否を判定する。前記アクセス制御ポリシーには、
通信機能を備える機密プログラムの名称と、当該機密プ
ログラムとの通信が許可されたユーザー名とプログラム
名の組合せを予め規定しておく。
【0019】この場合は,前記機密プログラムと当該機
密プログラムがアクセスする機密情報ファイルについて
も、前記セキュリティ用OSが占有する磁気ディスクに
格納すると共に、前記機密プログラムをセキュリティ用
OS上のプロセスとして動作させることでサービス用O
S側からの不正アクセスから保護する。もしくは、セキ
ュリティ用OSやサービス用OSとは別の第3のOS
と、各OS間で通信するためのプロセス間通信手段と、
各OSが互いに排他的に占有するメモリや磁気ディスク
およびネットワークデバイスを設け、前記機密プログラ
ムと当該プログラムがアクセスする機密情報ファイル
を、前記第3のOSが占有する磁気ディスクに格納する
と共に、第3のOS上のプロセスとして動作させること
で、サービス用OS側からの不正アクセスから保護す
る。
【0020】本発明におけるOSとは、ユーザーまたは
プログラムからの要求に応じて記憶媒体中のデータ、フ
ァイルへのアクセスを実行する機能と、アクセス要求元
のユーザーやプログラムを識別する機能と、排他制御機
構により占有する記憶手段を有するプログラムモジュー
ルを意味しており、 ・データ(ファイル)アクセスを管理しており、検知が
可能である。 ・アクセス要求元のユーザーを識別できる。 ・アクセス要求元のアプリケーションを識別できる。
【0021】といった特徴を持つ。したがって、一般的
にOSと呼ばれるものに限らず上記特徴を持つものであ
れば、本発明を適用することは可能である。
【0022】また,サービス提供とは,リクエストに応
じて所定の処理を実行し、その処理結果を要求元に返す
ことを指し,また,サービス利用とは,上記サービス提
供をおこなうものに対して、リクエストを発行し、その
処理結果を受け取ることを指す。
【0023】また,機密情報とは、システム利用者のう
ち、権限を持つものだけがその内容および存在自体を知
り得るような情報を指し,機密プログラムとは、このよ
うな情報を扱いながら所定を処理を実行するプログラム
を指す。
【0024】本発明を実現するのに必要な各プログラム
(コード、モジュール、ユニットともいう)は,ネット
ワークに接続される他のサーバからコンピュータが読み
取り可能な媒体,すなわちネットワーク上の伝送信号,
またはCDROM,FDなどの可搬型記憶媒体,を経由
して,事前にまたは必要なときに導入してもよい。
【0025】
【発明の実施の形態】以下、図を用いて本発明の実施の
一形態を説明する。
【0026】図1は、本発明のアクセス制御システムの
一構成例である。100はサーバ情報処理装置であり、
サービス用オペレーティングシステム(OS)103が
管理するメモリ101、当該サービス用OS103が占
有するディスクコントローラ112aと磁気ディスク1
14aとLANコントローラ113、セキュリティ用O
S104が管理するメモリ102と、当該セキュリティ
用OS104が占有するディスクコントローラ112b
と磁気ディスク114bその他を備える。
【0027】複数OS制御プログラム116は、サーバ
情報処理装置上で複数のOS(本実施例ではサービス用
OS103とセキュリティ用OS104)が動作するた
めの各種の制御をする部分で、各ハードウェアの初期化
および、メモリと磁気ディスクの分割占有処理、CPU
のスケジューリング、割り込み処理等を行う。OS間通
信処理部108は、複数OS制御プログラム116の中
に存在し、サーバ情報処理装置上で動作するOS間での
通信機能を提供する。やサーバ情報処理装置100の起
動時には、前記複数OS制御プログラム116が各ハー
ドウェアの初期化およびOS毎のハードウェア分割占有
処理等を行い、サービス用OS103とサーバプログラ
ム109がディスクコントローラ112aを介して磁気
ディスク114aからメモリ101上にロードされると
共に、セキュリティ用OS104とアクセス制御プログ
ラム110がディスクコントローラ112bを介して磁
気ディスク114bからメモリ102上にロードされ
る。前記OS間通信処理部108は、ファイルI/Oフ
ックプログラムと前記アクセス制御プログラム110と
の間でデータ交換を行なうために使用するものとし、前
記サーバプログラム109からは直接使用できないイン
タフェースとなっている。
【0028】なお、OS間通信処理部108は、サービ
ス用OS103に含まれるプロセス間通信プログラムと
して、構成することも可能である。
【0029】また、サービス用OS103は、流通して
いる既存のマルチユーザー・マルチタスクなOSと同
様、ユーザーの識別・認証機能を具備しているものとす
る。前記サーバ情報処理装置100と複数のクライアン
ト情報処理装置120は、ローカルエリアネットワーク
(LAN)115を介して相互に接続されており、前記
サーバプログラム109は、LANコントローラ113
とLAN115を介して、クライアントプログラム12
1からのリクエストの受信と、当該クライアントプログ
ラム121へのレスポンスの送信を行なう。サーバプロ
グラム109とクライアントプログラム121は、例え
ばWWWサーバとブラウザに相当するプログラムであ
る。なお、前記サーバ情報処理装置100とクライアン
ト情報処理装置120は、電話回線やインターネットを
介して接続されていてもよい。また、サービス用OS1
03とセキュリティOSとは、OS間通信のインタフェ
ースを非公開にすれば別々の装置上にあっても良く、セ
キュリティ的にも問題はない。
【0030】前記サーバプログラム109のようにOS
上で動作するアプリケーションプログラムは、一般にユ
ーザーレベルのプロセスと呼ばれている。該サーバプロ
グラム109は、前述のようにクライアントプログラム
121からのリクエストに基いて処理を実行するもので
あり、言い換えればネットワークからの攻撃の対象にも
なり得るプログラムである。これに対し、ファイルI/
Oフックプログラム106やファイルシステムドライバ
107のようにOSの一機能として動作するプログラム
は、一般にカーネルレベルのモジュールと呼ばれてお
り、多くのコンピュータシステムではアクセス制御機能
をカーネルレベルのモジュールとして実装している。
【0031】図1のサーバ情報処理装置100のよう
に、1台の情報処理装置上に複数のOSを同時に動作さ
せるための技術としては、仮想計算機あるいはマイクロ
カーネルがある。その他、リアルタイムOSを一般的な
OSのカーネルレベルのモジュールとして実装すると共
に、前記リアルタイムOSがシステム障害を検知する
と、リアルタイム処理を継続しながらもシステムを自動
的に再起動する方法が、特開平11−024943号公
報に開示されている。また、OS間通信処理部108の
ような、異種OS上のプロセス間通信を実現する方法
は、特開平11−085546号公報に開示されてい
る。これらを本発明の前提条件として、引続き実施の形
態を述べる。
【0032】図2は、前記ポリシーファイル200のデ
ータ構造を示したものである。
【0033】210から212は、ポリシー記述の一例
を示したものである。オブジェクト名201は、アクセ
スを制限すべきファイルの名称を示す。オブジェクト名
として、210や212のようにファイル単位の指定
と、211のようなディレクトリ単位の指定が可能とな
っている。ディレクトリ単位の指定では、該ディレクト
リ名に続くファイル名を所定の文字、記号(たとえばア
スタリスク(*))で表記する。前記オブジェクトに対
して禁止すべきアクセスを、禁止されたアクセスのタイ
プ202に示す。エラーコード203は、前記禁止され
たアクセスのタイプ202が発生した際に、当該アクセ
ス発行元(サブジェクト)となるプログラムに返すべき
エラーコードを示す。例外サブジェクト204は、特別
にアクセスを許されたプログラムの名称である。プログ
ラムのハッシュ値205は、前記例外サブジェクトとし
て指定されたプログラムファイルの特徴値(ハッシュ
値)をたとえば8バイトで表したものである。ユーザー
名206は、前記例外サブジェクト204のプログラム
を利用可能なユーザーを、前記サービス用OS103が
管理するユーザー名またはグループ名で表したものであ
る。
【0034】つまり前記ポリシーは、前記プログラムの
ハッシュ値205に登録されたハッシュ値を有するプロ
グラムが前記例外サブジェクトとして登録され、且つ該
プログラムをユーザー名206に登録されたユーザーあ
るいはグループのメンバーが利用している場合に限り、
例外としてアクセスを許可することを表している。同時
に、これら条件が整っていない場合は、アクセス発行元
のプログラムに対して前記エラーコード203を返すこ
とを意味する。
【0035】前記ポリシーファイル200の設定は、シ
ステムのセキュリティ管理者が行なうものとする。例え
ば、HTMLファイルなどのWWWコンテンツを侵入者
によって不正に書き換えられないようにするには、該H
TMLファイルへのライトアクセスを原則として禁止し
ておき、例外としてコンテンツ管理者に任命されている
ユーザーが特定のHTML編集用プログラムを用いた場
合に限りライトアクセスを許可するといったポリシーを
前記ポリシーファイル200に記述すればよい。
【0036】例外サブジェクトには、サーバプログラム
109のように、ネットワークからの攻撃を受けやすい
プログラムを指定しないことが重要である。更に例外サ
ブジェクトとして登録するプログラムを、CD−ROM
等の取り外し可能な記憶媒体に格納しておき、必要なと
きだけ媒体を装着して使用すればより確実に保護できる
ので、さらなるセキュリティ効果が期待できる。図1の
構成に当該媒体の駆動装置を追加し、ディスクコントロ
ーラ112aが当該駆動装置に対応すれば、このような
記憶媒体が使用可能となる。
【0037】図3は、アクセスログファイル300のデ
ータ構造の一例を示したものである。アクセスログファ
イル300は、前記ポリシーファイル200にて禁じら
れているアクセスが発生した事実を、アクセス制御プロ
グラム110のアクセスログ登録ルーチン406が書き
込むためのファイルであり、当該アクセスが発生した日
時301と、当該アクセスの対象となったファイルを表
すオブジェクト名302と、当該アクセスのタイプ30
3、当該アクセスを発行したプログラムを表すサブジェ
クト名304、そして前記プログラムを利用していたユ
ーザーを表すユーザー名305から構成される。
【0038】図4に、ファイルI/Oフックプログラム
106と、アクセス制御プログラム110の構成を示
す。
【0039】ファイルI/Oフックプログラム106
は、前記サーバ情報処理装置100の起動時に、サービ
ス用OS103と共にメモリ101上にロードされる。
アクセス制御プログラム110は、前記サーバ情報処理
装置100の起動時に、セキュリティ用OS104と共
にメモリ102上にロードされる。
【0040】図5と図6を用いて、本発明のアクセス制
御の概要を記す。
【0041】図5は、I/Oマネージャ105と、ファ
イルI/Oフックプログラム106と、アクセス制御プ
ログラム110の三者間における処理の流れを示すもの
である。501は、サーバプログラム109が発行した
ファイルアクセスが、I/Oマネージャ105を経由し
てファイルI/Oフックプログラム106に到達するま
での通信経路であり、サービス用OS103の上で動作
する全てのアプリケーションプログラムからのファイル
アクセスについて共通なものである。ファイルI/Oフ
ックプログラム106には、図6に示すI/Oパケット
600のデータが渡される。I/Oパケット600は、
I/Oフックプログラム106に渡される前にサービス
用OS103が具備するアクセス制御機構をパスしてい
ることと仮定して説明するが、これに限ったものではな
く、前記アクセス制御プログラム110のチェックをパ
スしてからサービス用OS103が具備するアクセス制
御機構のチェックを受けるものであってもよい。
【0042】図6は、前記三者間を流れるパケットのデ
ータ構造を示したものである。601はアクセス対象の
ファイルを表すオブジェクト名である。602は前記オ
ブジェクトへのアクセスタイプを示す。603は、当該
アクセスを発行したプログラムのプロセスIDを示す。
604は当該アクセスの処理結果を示すステータスを示
す。605は当該アクセスに関連するデータの長さを示
すものであり、例えば前記アクセスタイプ602がファ
イルへの書込み(ライト)要求であれば、書込みデータ
がデータ領域607に格納され、当該書込みデータの長
さがデータ長605に格納される。606は、前記デー
タ領域607へのポインタである。
【0043】図5において、502は、ファイルI/O
フックプログラム106が検知したファイルオープン要
求に関するアクセス権限チェックと、アクセスログ30
0への書き込みを、アクセス制御プログラム110に対
してリクエストするに用いる通信経路である。前記リク
エストのデータ構造を、図6のリクエストパケット61
0に示す。サブジェクト名611は、ファイルアクセス
の発行元となるプログラムの名称であり、ユーザー名6
12は、前記プログラムの利用者をユーザー名とグルー
プ名で表すものである。サブジェクト名611及びユー
ザー名612は、受信したI/Oパケット600に含ま
れるプロセスID603を指定して、前記サービス用O
S103として用いる標準のOSに対してシステムコー
ルを発行することで取得できる。
【0044】前記リクエストパケット610は、OS間
通信処理部108が当該パケットのデータを、ファイル
I/Oフックプログラムのメモリ空間630からアクセ
ス制御プログラムのメモリ空間640に複写することで
伝達される。アクセス制御プログラム110では、受信
したリクエストパケットに含まれる情報を、ポリシーフ
ァイル200の内容と照合し、その結果をレスポンスパ
ケット620に登録して前記ファイルI/Oフックプロ
グラムに伝達する。この伝達は、前記通信経路502と
同様に、OS間通信処理部108が前記パケットのデー
タを、アクセス制御プログラムのメモリ空間640から
ファイルI/Oフックプログラムのメモリ空間630に
複写することで達成される。503は、当該レスポンス
パケットの通信経路を示すものである。
【0045】ファイルI/Oフックプログラム106
は、受信したレスポンスパケット620の内容から当該
アクセスの可否を判断し、アクセス不可であればエラー
コード203をI/Oパケット600のステータス60
4に設定し、当該I/Oパケットを前記I/Oマネージ
ャ105に返す。前記ステータス604にエラーコード
が設定されている場合、前記I/Oマネージャ105
は、通信経路506を用いてファイルアクセス発行元の
サーバプログラム109に当該エラーを返す。一方、前
記ステータス604にエラーコードが設定されていなけ
れば、通信経路505を用いてファイルシステムドライ
バ107及びディスクコントローラ112aを介して磁
気ディスク114aへのファイルアクセスを続行し、通
信経路506を用いて当該アクセスの結果を前記サーバ
プログラム109に返す。
【0046】本発明のアクセス制御の具体的処理内容
を、図7から図16を用いて説明する。
【0047】図7は、ファイルI/Oフックプログラム
106が具備するファイルI/Oフックルーチンの処理
内容を示すフロー図である。
【0048】サーバプログラム109が、ステップ70
1でクライアントプログラム121からのリクエストを
受信し、ステップ702で前記リクエストに応じたファ
イルアクセスをサービス用OS103に対して発行した
場合を想定する。
【0049】当該ファイルアクセスは、通信経路501
を経由して、ファイルI/Oフックルーチン400にI
/Oパケット600として渡される(ステップ70
3)。ステップ703からステップ712は、ファイル
I/Oフックルーチン400の処理フローである。ステ
ップ704では、I/Oパケット600に含まれるプロ
セスID603から、ファイルアクセス発行元のサブジ
ェクト名611とユーザー名612を取得する。
【0050】ステップ705からステップ708では、
アクセスタイプ602を調べ、ファイルオープン、ファ
イルクローズ、ファイルリード又はライト、またはファ
イル削除又はリネームにそれぞれ対応する処理ルーチン
を実行する。これらに該当しない場合、又は対応する処
理ルーチンを実行した後は、通信経路504を経由し
て、ステップ713にてI/Oマネージャ105の処理
に戻る。
【0051】図8を用いてオープン処理ルーチン401
の処理フローを説明する。ステップ801では、アクセ
ス日時として現在の日付と時刻を取得する。ステップ8
02では、リクエストパケット610を作成すると共
に、当該パケット中のエラーコード203とハッシュ値
205を0に初期設定する。次にステップ803にて、
アクセス制御プログラム110のオープン制御ルーチン
405をコールすると共に、前記リクエストパケット6
10をオープン制御ルーチン405に渡す。
【0052】オープン制御ルーチン405の処理フロー
を、図9を用いて説明する。ステップ901では、受信
したリクエストパケット610のうち、オブジェクト名
601とアクセスタイプ602の内容を、ポリシーファ
イル200と照合する。ステップ902では、当該アク
セスが禁止されたアクセスのタイプとして登録されてい
るかどうかを判別する。このとき、禁止されたアクセス
タイプに該当しなければ正当なアクセスとみなし、ステ
ップ903にて、許可されたアクセスタイプをレスポン
スパケット620の認可アクセス613に登録し、オー
プン処理ルーチン401の処理に戻る。ここで、許可さ
れたアクセスタイプとは、オブジェクト名601で示さ
れるファイルに対するリードとライトの内、サブジェク
ト名611で示されるプログラムから実行可能なアクセ
スタイプのことを表す。したがって、オブジェクト名6
01で示されるファイルに対して、ポリシーファイル2
00の中でリードとライト共に許可されていれば、認可
アクセス613にはリードとライトの両方を登録する。
また、リードのみが許可されている場合はリードのみ
を、ライトのみが許可されている場合はライトのみを前
記認可アクセス613に登録する。リードとライトの両
方を禁じる場合には、ポリシーとして当該ファイルのオ
ープンを禁止するよう、予めポリシーファイル200に
記述しておけばよい。
【0053】ステップ902にて禁止されたアクセスだ
と判断した場合、ステップ904にて、前記サブジェク
ト名611とユーザー名612が、共にポリシーファイ
ル200に記述された例外サブジェクト204とユーザ
ー名206に該当するか否かを判別する。このとき、サ
ブジェクト名については該プログラムファイルのパス名
が完全に一致するか否かを判別する。またユーザー名に
ついては、ユーザー名612に含まれるユーザー名とグ
ループ名のいずれかが一致するか否かを判別する。判別
の結果、例外サブジェクト204かつユーザー名206
に該当する場合、ステップ905にて当該プログラムフ
ァイルのハッシュ値205をポリシーファイル200か
ら取得して、レスポンスパケット620に設定する。ま
た、ステップ906では、ステップ903と同様に、許
可されたアクセスタイプをレスポンスパケット620の
認可アクセス613として設定する。その後、ステップ
908で、該当するエラーコード203をレスポンスパ
ケット620に設定してから、オープン処理ルーチン4
01へ戻る。ここでのエラーコード設定は、オープン処
理ルーチン401のステップ804からステップ812
の処理の中で意味を持つものである。
【0054】ステップ904にて、例外サブジェクト2
04とユーザー名206とに該当しないと判断した場
合、ステップ907にて、当該アクセスの内容をアクセ
スログファイル300に書込む。その後、ステップ90
8で、該当するエラーコード203をレスポンスパケッ
ト620に設定してから、オープン処理ルーチン401
へ戻る。
【0055】次に、図8において、ステップ804では
レスポンスパケット中のハッシュ値205の値を調べ、
0であれば例外として認められたアクセスではないと判
断し、ステップ805でエラーコードの値をチェックす
る。エラーコードが0でなければ禁止されたアクセスで
あったと判断し、ステップ806にて、I/Oパケット
600のステータス604に、当該エラーコード203
を設定して処理を終了する。ステップ805で、エラー
コードが0であれば、正当なアクセスであったと判断
し、ステップ810にて当該アクセス情報を後述するオ
ープンファイルテーブルの先頭アドレスに登録してから
処理を終了する。
【0056】ステップ804でハッシュ値が0でない場
合は、例外として認められたサブジェクトであると判断
し、ステップ807にてサブジェクト名601で示され
るプログラムファイルのハッシュ値を算出し、ステップ
808にてレスポンスパケット中のハッシュ値205と
比較する。両者が等しければ、例外サブジェクト204
に相当するとみなして、ステップ812にて当該アクセ
ス情報をオープンファイルテーブルの先頭アドレスに登
録してから本ルーチンの処理を終了する。ハッシュ値が
等しくなければ、前記プログラムファイルが不正なプロ
グラムであるとみなして、ステップ809にて前記リク
エストパケットにおけるサブジェクト名611を例外サ
ブジェクトにならないように、例えばサブジェクト名と
してnullデータに、変更し、、ステップ810にてアク
セスログ登録ルーチン406をコールすると共に前記リ
クエストパケット610をアクセスログ登録ルーチン4
06に渡す。
【0057】該アクセスログ登録ルーチン406の処理
フローを、図14を用いて説明する。ステップ1401
で、リクエストパケット610の内容をポリシーファイ
ル200と照合する。予め前記ステップ809で例外サ
ブジェクト扱いにならぬようにサブジェクト名611を
クリアしておくことにより、必ず禁止されたオープンア
クセスとして扱われる。ステップ1402にて、該当す
るエラーコードをポリシーファイル200から読み出し
てレスポンスパケット620に設定し、当該パケットを
返す。ステップ1403にて当該アクセス内容を、アク
セスログファイル300に書き込み、オープン処理ルー
チン401の処理に戻る。
【0058】図8のオープン処理ルーチン401におい
て、ステップ811でレスポンスパケット中のエラーコ
ード203をI/Oパケットのステータス604に設定
して本ルーチンの処理を終了する。
【0059】図10を用いてオープンファイルテーブル
について説明する。オープンファイルテーブル1000
は、現在オープン中のファイルに関する情報を格納した
構造体データ1002の集合である。1個の構造体には
1件のオープンファイルの情報を記憶しており、ファイ
ルI/Oフックプログラム106では、各構造体を先頭
アドレス1001とポインタ1003によりリストとし
て管理する。本オープンファイルテーブル1000の一
例を図11に示す。
【0060】オープンファイルテーブル1000に登録
された情報に該当するアクセスであれば、該アクセスを
許可することになるため、オープンファイルテーブル1
000を不正に書換えられないよう保護することが重要
である。サービス用OS103として、プロセス毎に独
立したメモリ空間が割当てられると共にメモリ空間の排
他制御機構が働くOSを使うことで、前記オープンファ
イルテーブル1000も別プロセスからは不正に書換え
できない仕組みにすることが可能になる。
【0061】図12は、クローズ処理ルーチン402の
処理フローを示したものである。ステップ1201で
は、受信したI/Oパケット600の中にあるオブジェ
クト名601と、プロセスID603、並びにプロセス
ID603から取得したサブジェクト名611およびユ
ーザー名612の組み合わせと同じものをオープンファ
イルテーブル1000から検索する。ステップ1202
で、該当する情報がテーブルにあれば、ステップ120
3にて該当する情報をテーブルから削除する。一方、テ
ーブルに存在しなければ、ポリシーファイル200に登
録されていないファイルへのクローズ要求とみなし、本
ルーチンの処理を終了する。
【0062】図13は、リード・ライト処理ルーチン4
03の処理フローを表したものである。ステップ130
1では、受信したI/Oパケット600の中にあるオブ
ジェクト名601と、プロセスID603と、プロセス
ID603から取得したサブジェクト名611と、ユー
ザー名612との組み合わせと同じものをオープンファ
イルテーブル1000から検索し、更にアクセスタイプ
602が認可されたアクセスタイプ613に含まれるか
否かをチェックする。ステップ1302にて、前記オブ
ジェクト名601と、プロセスID603と、サブジェ
クト名611と、ユーザー名612と、アクセスタイプ
602との組合せがテーブル1000にあれば、本ルー
チンの処理を終了する。このことは、オープンファイル
テーブル1000に登録されたアクセスであれば正当な
アクセスであるとみなし、アクセス制御プログラム11
0の処理を行わないことを意味する。これは、本発明の
アクセス制御によって生じるシステムのパフォーマンス
低下を軽減する効果がある。
【0063】ステップ1302にて、オープンファイル
テーブルに登録されたアクセスでなければ前記ポリシー
ファイル200により禁止されたアクセスとみなし、ス
テップ1303でアクセス日時を取得し、ステップ13
04でリクエストパケット610を作成する。このと
き、エラーコード203を0に初期設定する。この後、
ステップ1305にてアクセスログ登録ルーチン406
の処理にジャンプする。
【0064】図14のアクセスログ登録ルーチン406
において、ステップ1401ではリクエストパケット6
10の内容をポリシーファイル200と照合し、ステッ
プ1402にて、該当するエラーコードをポリシーファ
イル200から読み出してレスポンスパケット620に
設定する。次に、ステップ1403にて当該アクセス内
容を、アクセスログファイル300に書き込み、リード
・ライト処理ルーチン403の処理に戻る。リード・ラ
イト処理ルーチン403では、図13のステップ130
6において、レスポンスパケットで受信したエラーコー
ドをI/Oパケットのステータス604に設定し、本ル
ーチンの処理を終了する。
【0065】図15は、削除・リネーム処理ルーチン4
04の処理フローを表したものである。図8のオープン
処理ルーチン401と同じ処理内容のステップには同じ
番号を付している。
【0066】ステップ1503にて、アクセス制御プロ
グラム110の削除・リネーム制御ルーチン407をコ
ールすると共に、前記リクエストパケット610を削除
・リネーム制御ルーチンに渡す。
【0067】削除・リネーム制御ルーチン407の処理
フローを、図16を用いて説明する。図9のオープン制
御ルーチン405と同じ処理内容のステップには同じ番
号を付している。ステップ1602では、当該アクセス
が禁止されたアクセスのタイプとして登録されているか
どうかを判別する。禁止されたアクセスタイプに該当し
なければ正当なアクセスとみなし、削除・リネーム処理
ルーチン404の処理に戻る。
【0068】ステップ1602にて禁止されたアクセス
だと判断した場合、図9と同様にステップ904、90
5の処理を行い、ステップ1603にて、例外サブジェ
クト204とユーザー名206に該当しないと判断した
場合、図9と同様にステップ907の処理を行う。
【0069】ステップ905または907の処理を済ま
せると、ステップ908で、該当するエラーコード20
3をレスポンスパケット620に設定してから、削除・
リネーム処理ルーチン404へ戻る。
【0070】次に図15において、図8と同様にステッ
プ804の処理を行う。ステップ1505では、エラー
コードが0であれば、正当なアクセスであったと判断
し、本ルーチンの処理を終了する。ステップ807にて
サブジェクト名601で示されるプログラムファイルの
ハッシュ値を算出し、ステップ808にてレスポンスパ
ケット中のハッシュ値205と比較して、両者が等しけ
れば、例外サブジェクト204に相当するとみなして本
ルーチンの処理を終了する。ハッシュ値が等しくない場
合は図8と同様の処理を行い、アクセスログ登録ルーチ
ン406を呼び出す。当該ルーチンが処理を済ませると
削除・リネーム処理ルーチン404の処理に戻る。
【0071】図15において、ステップ1511でレス
ポンスパケット中のエラーコード203をI/Oパケッ
トのステータス604に設定して本ルーチンの処理を終
了する。
【0072】以上、本発明の実施の一形態を説明した
が、OSが備えるファイルシステムの種類によっては、
ファイルオープン要求を表すI/Oパケットの中に、目
的となるアクセスタイプを付属情報として含むものがあ
る。つまり、ファイルのリードアクセスをするためのオ
ープン要求なのか、リード・ライトのためのオープン要
求なのかを、前記I/Oパケット600中のアクセスタ
イプ602から検知できる。このようなファイルシステ
ムを前提とした場合には、図7に示すファイルI/Oフ
ックルーチン400の処理フローと、図8に示すオープ
ン処理ルーチン401の処理フローと、更に図9に示す
オープン制御ルーチン405の処理フローとを変更する
ことにより、前記オープンファイルテーブル1000の
管理が不要なアクセス制御システムが実現できる。
【0073】図7においてはファイルI/Oフックルー
チン400の処理フローから、ステップ706と、ステ
ップ707と、ステップ710と、ステップ711を省
く。つまり、ファイルオープン要求と、ファイル削除要
求と、ファイルのリネーム要求のいずれかを検知し、フ
ァイルのオープン要求であれば、ステップ709にてオ
ープン処理ルーチン401の処理に移り、削除又はリネ
ーム要求であれば、ステップ712にて削除・リネーム
処理ルーチン404の処理に移るよう、ファイルI/O
フックルーチン400の処理フローを変更すればよい。
【0074】図8においては,オープン処理ルーチンの
処理フローから、ステップ812の処理を省く。つま
り、ステップ808でのハッシュ値照合処理の結果、等
しければ本ルーチンの処理を終了するよう、オープン処
理ルーチン401の処理フローを変更する。
【0075】更に、図9で説明したオープン制御ルーチ
ン405の処理フローは、図26に示す処理フローに変
更する。図26のステップ2801における処理,すな
わち,受信したリクエストパケット610のうち、オブ
ジェクト名601とアクセスタイプ602の内容を、ポ
リシーファイル200と照合するといった処理におい
て、このときアクセスタイプ602の中に含まれる前記
オープン要求の付属情報(リードやライト)まで取得し
て、前記ポリシーファイル200と照合する。本発明で
は、前記オープン要求の付属情報として、リードとライ
トの両方が含まれる場合、リードとライトの両方、もし
くはいずれか一方が禁止されたアクセスとしてポリシー
ファイル200に記述されていれば、当該オープン要求
を禁止されたアクセスとしてみなす。
【0076】ステップ2802では、当該アクセスが禁
止されたアクセスのタイプとして登録されているかどう
かを判別する。このとき、禁止されたアクセスタイプに
該当しなければ正当なアクセスとみなし、ステップ28
03にて、レスポンスパケット620のエラーコード2
03と、ハッシュ値205を共に0を設定し、オープン
処理ルーチン401の処理に戻る。リードとライトの両
方を禁じる場合には、ポリシーとして当該ファイルのオ
ープンを禁止するよう、予めポリシーファイル200に
記述しておけばよい。
【0077】ステップ2802にて禁止されたアクセス
だと判断した場合、ステップ2804にて、前記サブジ
ェクト名611とユーザー名612が、共にポリシーフ
ァイル200に記述された例外サブジェクト204とユ
ーザー名206に該当するか否かを判別する。このと
き、サブジェクト名については該プログラムファイルの
パス名が完全に一致するか否かを判別する。またユーザ
ー名については、ユーザー名612に含まれるユーザー
名とグループ名のいずれかが一致するか否かを判別す
る。判別の結果、例外サブジェクト204かつユーザー
名206に該当する場合、ステップ2805にて当該プ
ログラムファイルのハッシュ値205をポリシーファイ
ル200から取得して、レスポンスパケット620に設
定する。その後、ステップ2808で、該当するエラー
コード203をレスポンスパケット620に設定してか
ら、オープン処理ルーチン401へ戻る。
【0078】ステップ2804にて、例外サブジェクト
204とユーザー名206とに該当しないと判断した場
合、ステップ2807にて、当該アクセスの内容をアク
セスログファイル300に書込む。その後、ステップ2
808で、該当するエラーコード203をレスポンスパ
ケット620に設定してから、オープン処理ルーチン4
01へ戻る。
【0079】次に、本発明のアクセス制御システムのう
ち、プロセス間通信に関するアクセス制御について説明
する。図17は、機密性の高い情報と、それにアクセス
するプログラムを不正アクセスから保護するためのアク
セス制御システムの一構成例であり,図1と同じ構成要
素には,同じ番号を付している。この構成は、情報の機
密性を確保しつつ、外部ネットワークに対してサービス
を提供する場合に有効であり、高い安全性を確保するこ
とができる。
【0080】図17の構成は,図1の構成と同様である
が,さらに,機密用OS122が管理するメモリ170
8と、当該機密用OS122が占有するディスクコント
ローラ112cと磁気ディスク114cとLANコント
ローラ123その他を備える。
【0081】前記サービス用OS103が占有するLA
Nコントローラ113aは、インターネット等の外部ネ
ットワーク1706に接続されたクライアント情報処理
装置120等との通信に用いる。一方、前記機密用OS
122が占有するLANコントローラ113cは、内部
ネットワーク1707に接続された機器との通信に用い
る。
【0082】複数OS制御プログラム116は、機密用
OS122まで含めた複数のOSの制御を行う。
【0083】前記サービス用OS103とセキュリティ
用OS104と機密用OS122は、各々ドライバ部1
17とドライバ部118とドライバ部119を含んでお
り、各OS上のアプリケーションプログラムは、必ずこ
れらドライバを経由してOS間通信処理部108へアク
セスする。この方法は、すでに説明したプロセス間通信
方法と同様なものである。
【0084】一般的なプロセス間通信の種類には、共有
メモリやセマフォ、メッセージキューなど様々なものが
あり、いずれも予め取り決められた名称や番号を用いて
通信相手を識別することになっている。
【0085】更に本発明は、以下の特徴を持つ。すなわ
ち,プロセス間通信の不正利用を防止するために、プロ
セス間通信に関するセキュリティポリシーを記述した通
信制御ポリシー1800を前記磁気ディスク114bに
格納しておき、前記OS間通信処理部108を利用した
プロセス間通信の要求については、セキュリティ用OS
104側で動作する通信制御プログラム1700が、前
記通信制御ポリシー1800の記述に基づいてアクセス
制御を行う。また、当該プロセス間通信に関するアクセ
スログを、前記磁気ディスク114b中の通信ログ19
00に記録する機能を備える。また、前記通信制御プロ
グラム1700は、実行中のプロセス間通信に関する情
報を、セキュリティ用OS104が管理するメモリ10
2の中に設けた通信管理テーブル2000にて保持す
る。
【0086】中継プログラム1701は、前記サービス
用OS103の上で動作するアプリケーションプログラ
ムの1つである。本実施例では、外部ネットワークに接
続されたクライアント情報処理装置120からの要求に
応じて、後述する機密プログラム1703とのプロセス
間通信を行ない、処理結果を前記クライアント情報処理
装置120に返信する役割をもったプログラムを中継プ
ログラムと称す。なお、前記クライアント情報処理装置
120とのデータ通信をサーバプログラム109により
実施し、前記中継プログラム1701は、必要に応じて
サーバプログラム109が呼び出して利用するものであ
ってもよい。
【0087】機密プログラム1703は、機密用OS1
22の上で動作するアプリケーションプログラムの1つ
であり、本実施例では、機密用OS122が占有するデ
ィスクコントローラ112cを利用して磁気ディスク1
14cに格納された機密情報1704にアクセスした
り、同じく機密用OS122が占有するLANコントロ
ーラ113cを経由して、占有する内部ネットワークに
接続された記憶媒体中の機密情報1705にアクセスし
ながらサービスを提供するものと仮定して説明する。
【0088】前記サーバ情報処理装置100の起動時に
は、前記複数OS制御プログラム116が各ハードウェ
アの初期化、メモリ領域の分割、CPUのスケジューリ
ング等を行う。
【0089】次に、サービス用OS103とサーバプロ
グラム109と中継プログラム1701がディスクコン
トローラ112aを介して磁気ディスク114aからメ
モリ101上にロードされ、セキュリティ用OS104
とアクセス制御プログラム110がディスクコントロー
ラ112bを介して磁気ディスク114bからメモリ1
02上にロードされ、更に機密用OS122と機密プロ
グラム1703がディスクコントローラ112cを介し
て磁気ディスク114cからメモリ1708上にロード
される。
【0090】図18は、前記通信制御ポリシー1800
のデータ構造の一例を示したものである。アプリケーシ
ョン名1801は、機密用OS122の上で動作する機
密プログラムの名称であり、機密用OS122上でユニ
ークな識別子となるよう、例えばプログラムファイルの
絶対パス名等を用いる。サービス番号1802は、前記
アプリケーション名1801に対応する機密プログラム
が提供するサービスの識別子であり、例えばTCP/I
P通信におけるポート番号や、メッセージ通信における
メッセージキュー番号(メッセージキュー名称)等に相
当する。本実施の形態では、1つの機密プログラムに対
して1つのサービス番号を登録する場合を例に説明する
が、これに限ったものではなく、複数のサービス番号を
登録してもよい。サービス番号は、通信する双方で事前
に取り決めておくものとし、中継プログラム1701か
ら通信制御ポリシー1800の参照はできないものとす
る。
【0091】許可アプリケーション名1803は、サー
ビス用OS103上で動作するプログラムであり、且つ
前記アプリケーション名1801で示される機密プログ
ラムとの通信を許可されたプログラムの名称であり、例
えば中継プログラム1701に相当する。特徴値180
4は、前記許可アプリケーション名1803で示される
プログラムが備える特徴値であり、例えば当該プログラ
ムファイルのサイズやハッシュ値等に相当する。ユーザ
ー名1805は、前記許可アプリケーション名1803
で示されるプログラムが実行中に使用する権限をユーザ
ー名で表したものである。これは、一般的なマルチユー
ザー・マルチタスクのOSにおいて、アプリケーション
プログラムが必ず何れかのユーザー権限を使用して動作
することを前提としている。特にユーザー名を限定した
くない場合は、ユーザー名を所定の文字、記号(たとえ
ばアスタリスク(*))で表記する。なお、本通信制御
ポリシー1800は、システムの運用に先立って、管理
者が予め登録しておくものである。また、図18では機
密プログラムと中継プログラムの組み合わせが1対1の
場合を例に記述しているが、1つの機密プログラムの利
用許可を、複数の中継プログラムに与えても良い。
【0092】図19は、前記通信ログ1900のデータ
構造の一例を示したものである。通信ログ1900は、
前記通信制御ポリシー1800に違反する通信が発生し
た事実を書き込むためのファイルであり、当該通信が発
生した日時1901と、当該通信の対象となった機密プ
ログラム名1902と、機密プログラムとの通信要求を
発行したサービス用OS103側プログラムを表すサブ
ジェクト名1903、そしてエラーの内容を表すエラー
番号1904から構成される。
【0093】図20は、通信管理テーブル2000のデ
ータ構造の一例を示したものである。通信管理テーブル
2000は、機密プログラムの識別子2001と、当該
機密プログラムが提供するサービスの番号2002と、
機密プログラムとのプロセス間通信のために使用する暗
証データ2003と、サービス用OS103のドライバ
部117が提供する通信中のプログラムの識別子200
4、とから構成される。図20では、各識別子にそれぞ
れプログラム名称を用いているが、例えば機密用OS1
22とサービス用OS103が各々管理するプロセスI
Dのような、プロセス特有の情報と組み合わせて管理し
てもよい。
【0094】図21から図25は、中継プログラム17
01と機密プログラム1703が、前記OS間通信処理
部108の通信機能を利用してプロセス間通信をする際
の、処理フローを示したものである。本実施の形態にお
いて、中継プログラム1701と機密プログラム170
3は、クライアントとサーバの関係にあることから、前
もって機密プログラム1703がデータ受信可能な状態
になるものとして説明する。また、プロセス間通信手段
には様々な種類があるが、どの手段を用いた場合でもそ
の手順は、ハンドルの取得処理、データ送信処理とデー
タ受信処理、ハンドルの解放処理に大別できる。ハンド
ルとは、アプリケーションプログラムがファイル、メモ
リなどのオブジェクトをアクセスする際にアクセス対象
となるオブジェクトを指定するデータであり,OSから
与えられる。ハンドルは、オブジェクトごとにシステム
内でユニークな数値であることが保証されている。この
場合のオブジェクトとは、例えばファイルやソケットな
ど、データ処理の際に用いるアクセス対象全般を指す。
本発明では、機密用OS122やサービス用OS103
上のプログラムがハンドル値を取得する際に、各OSの
ドライバ部を経由して必ず通信制御プログラム1700
によるポリシーチェックを受け,正当性を確認するとこ
ろに特徴がある。
【0095】図21は、前記OS間通信処理部108を
介して、機密プログラム1703が通信制御プログラム
1700に対してサービスを登録し、中継プログラム1
701からのデータ受信待ち状態になるまでの処理フロ
ーを示したものである。ステップ2100にて、前記通
信制御プログラム1700は、OS間通信処理部108
の機能を用いて機密用OS122側からのデータ受信が
可能な状態となっている。機密プログラム1703は、
ステップ2101にて暗証データを作成し、ステップ2
102にて、機密用OS122のドライバ部119に対
してサービス番号と暗証データを送付し、中継プログラ
ム1701とのプロセス間通信に利用するハンドルを要
求する。
【0096】機密用OS122のドライバ部119は、
ステップ2103にて通信制御プログラム1700との
通信路を確立し、ステップ2104にて前記機密プログ
ラム1703の識別子とサービス番号と暗証データを、
通信制御プログラム1700に送付する。
【0097】通信制御プログラム1700は、ステップ
2105にて通信制御ポリシー1800を参照し、機密
プログラムとサービス番号が登録されているかどうかを
調べ,正当性を確認する。通信制御ポリシー1800に
記述されていれば、ステップ2106にて前記機密プロ
グラム1703の識別子情報とサービス番号と暗証デー
タを、通信管理テーブル2000に登録する。通信制御
ポリシー1800に記述されていなければ、ステップ2
107にてその旨を前記ドライバ部119に返信するた
めのエラー設定を行う。ステップ2108では、通信制
御ポリシーとの照合結果を返信するとともに、ドライバ
部118を介して、ドライバ部119との通信路を解放
する。
【0098】前記ドライバ部119は、ステップ210
9にて通信制御プログラム1700からの返信データを
チェックし、通信管理テーブル2000への登録に成功
していれば、ステップ2111にて中継プログラム17
01と通信するために利用するハンドルをOS間通信処
理部108から取得し、ステップ2112にて前記機密
プログラム1703への返信データとして、前記ハンド
ル値を設定する。一方、通信管理テーブルへの登録に失
敗した場合は、ステップ2110にて、前記機密プログ
ラム1703への返信データとしてエラーを設定する。
【0099】機密プログラム1703は、ステップ21
13にてドライバ部119からの返信データをチェック
する。要求したハンドル取得に成功していれば、ステッ
プ2114にてサービス用OS103側からのデータ受
信待ち状態になり、ハンドル取得に失敗していれば、ス
テップ2115にて所定のエラー処理を実行する。
【0100】図22は、前記機密プログラム1703が
プロセス間通信に利用していたハンドルを解放する際の
処理フローを示したものである。ステップ2200に
て、前記通信制御プログラム1700は、OS間通信処
理部108の機能を用いて機密用OS122側からのデ
ータ受信が可能な状態となっている。機密プログラム1
703は、ステップ2201にて、機密用OS122の
ドライバ部119に対してハンドル値を指定し、当該ハ
ンドルの解放を要求する。
【0101】機密用OS122のドライバ部119は、
ステップ2202にて通信制御プログラム1700との
通信路を確立し、ステップ2203にて前記機密プログ
ラム1703の識別子とサービス番号を、通信制御プロ
グラム1700に送付する。
【0102】通信制御プログラム1700では、ステッ
プ2204にて通信管理テーブル2000を参照し、登
録された機密プログラムであるかを確認する。通信管理
テーブル2000に記述されていれば、ステップ220
5にて前記機密プログラムの情報を、通信管理テーブル
2000から削除する。通信管理テーブル2000に記
述されていなければ、ステップ2206にてその旨を前
記ドライバ部119に返信するためのエラー設定を行
う。ステップ2207では、通信管理テーブル2000
との照合結果を返信するとともに、ドライバ部119と
の通信路を解放する。
【0103】前記ドライバ部119は、ステップ220
8にて通信制御プログラム1700からの返信データを
チェックし、通信管理テーブルからの削除に成功してい
れば、ステップ2210にて今度は中継プログラム17
01との通信に利用していたハンドルの解放処理を実行
する。一方、通信管理テーブルからの削除に失敗した場
合は、ステップ2209にて、前記機密プログラム17
03への返信データとしてエラーを設定する。
【0104】機密プログラム1703は、ステップ22
11にてドライバ部119からの返信データをチェック
し、ハンドル解放に成功していれば、ステップ2212
にて処理を終了する。一方、ハンドル解放に失敗してい
れば、ステップ2213にて所定のエラー処理を実行す
る。
【0105】図23と図24は、前記OS間通信処理部
108を介して、中継プログラム1701が機密プログ
ラム1703とのプロセス間通信用のハンドルを取得す
るまでの処理フローを示したものである。図23のステ
ップ2300にて、前記通信制御プログラム1700
は、OS間通信処理部108の機能を用いてサービス用
OS103側からのデータ受信が可能な状態となってい
る。中継プログラム1701は、ステップ2301に
て、サービス用OS103のドライバ部117に対して
利用したいサービス番号を送付し、機密プログラムとの
プロセス間通信に利用するハンドルを要求する。サービ
ス番号は、上述の通り、ポート番号と同様に、事前に取
り決めておくものとする。参照のために、プログラムに
固定的に埋め込んでおくか、定義ファイルに記述してお
くなどが考えられる。
【0106】サービス用OS103のドライバ部117
は、ステップ2302にて通信制御プログラム1700
との通信路を確立し、ステップ2303にて前記中継プ
ログラム1701の識別子とその特徴値、および中継プ
ログラム1701が使用しているユーザー権限を表すユ
ーザー名を取得し、利用したいサービス番号と共に通信
制御プログラム1700に送付する。
【0107】通信制御プログラム1700では、ステッ
プ2304にて通信管理テーブル2000と通信制御ポ
リシー1800を参照し、指定されたサービスが有効で
あり、且つ当該サービスの利用を許可されたプログラム
か否かを調べ,正当性を確認する。具体的には、ドライ
バ部117から渡された中継プログラムの識別子と特徴
値とユーザー名とが、通信制御ポリシー1800の内容
に一致すればポリシーに合致していると言える。もしサ
ービスが有効で、且つポリシーに合致していれば、ステ
ップ2305にて前記中継プログラム1701の識別子
情報を、前記サービス利用中のプログラムとして通信管
理テーブル2000に登録し、該当するサービスの利用
に必要な暗証データを中継プログラムに返信するため
に、通信管理テーブル2000から取得する。一方、サ
ービスが有効でない、あるいはポリシーに合致していな
ければ、ステップ2306にてその旨を通信ログ190
0に書き込むと共に、前記ドライバ部117に返信する
ためのエラー設定を行う。ステップ2307では、通信
制御ポリシーとの照合結果を返信するとともに、ドライ
バ部117との通信路を解放する。
【0108】前記ドライバ部117は、ステップ230
8にて通信制御プログラム1700からの返信データを
チェックし、通信管理テーブル2000への登録に成功
していれば、つまり中継プログラム1701の認証に成
功していれば、ステップ2310にて今度は機密プログ
ラムとの通信用ハンドルを取得する処理(図24)に移
る。一方、通信管理テーブルへの登録に失敗した場合
は、ステップ2309にて、前記中継プログラム170
1にエラーを返して終了する。
【0109】図24では、図21のステップ2114で
示したように、前記機密プログラム1703がサービス
用OS103側からデータ受信可能であることを前提に
して、中継プログラム1701の通信用ハンドル取得処
理を説明する。サービス用OS103のドライバ部11
7は、OS間通信処理部108の機能を利用して、機密
プログラム1703との通信用ハンドルを取得する。ス
テップ2402では、先に図23のステップ2307に
て通信制御プログラム1700から受信した暗証データ
を、機密用OS122のドライバ部119を経由して機
密プログラム1703に送付する。
【0110】機密プログラム1703では、ステップ2
403にて、ドライバ部117から受信した暗証データ
と、機密プログラム1703が作成した(図21のステ
ップ2101)暗証データとを照合し、結果を前記ドラ
イバ部117に返信する。
【0111】前記ドライバ部117は、ステップ240
4にて機密プログラム1703からの返信データをチェ
ックする。前記暗証データが一致している場合には、前
記機密プログラム1703との通信を許可されたと判断
し、ステップ2405にて、中継プログラム1701へ
の返信データとして、機密プログラム1703との通信
ハンドル値を設定する。一方、前記暗証データに誤りが
あった場合は、ステップ2406にて、機密プログラム
1703との通信用ハンドルを解放すると共に、前記中
継プログラム1701への返信データとしてエラーを設
定する。
【0112】中継プログラム1701は、ステップ24
07にてドライバ部117からの返信データをチェック
し、ハンドル取得に成功していれば、以後、OS間通信
処理部108の機能を利用して機密プログラム1703
とのデータ通信が可能となる(ステップ2408)。一
方、ハンドル取得に失敗していれば、ステップ2409
にて所定のエラー処理を実行する。
【0113】図25は、前記中継プログラム1701が
機密プログラムとのプロセス間通信に利用していたハン
ドルを解放する際の処理フローを示したものである。ス
テップ2500にて、前記通信制御プログラム1700
は、OS間通信処理部108の機能を用いてサービス用
OS103側からのデータ受信が可能な状態となってい
る。中継プログラム1701は、ステップ2501に
て、サービス用OS103のドライバ部117に対して
ハンドル値を指定して、当該ハンドルの解放を要求す
る。
【0114】サービス用OS103のドライバ部117
は、ステップ2502にて通信制御プログラム1700
との通信路を確立し、ステップ2503にて前記中継プ
ログラム1701の識別子とサービス番号を、通信制御
プログラム1700に送付する。
【0115】通信制御プログラム1700では、ステッ
プ2504にて通信管理テーブル2000を参照し、当
該テーブルに登録された中継プログラムであるかを確認
する。通信管理テーブル2000に登録されていれば、
ステップ2505にて前記中継プログラムに該当する情
報を、通信管理テーブル2000から削除する。通信管
理テーブル2000に記述されていなければ、ステップ
2506にてその旨を前記ドライバ部117に返信する
ためのエラー設定を行う。ステップ2507では、通信
管理テーブル2000との照合結果を返信するととも
に、ドライバ部117との通信路を解放する。
【0116】前記ドライバ部117は、ステップ250
8にて通信制御プログラム1700からの返信データを
チェックし、通信管理テーブルからの削除に成功してい
れば、ステップ2510にて今度は機密プログラム17
03との通信に利用していたハンドルの解放処理を実行
する。一方、通信管理テーブルからの削除に失敗した場
合は、ステップ2509にて、前記中継プログラム17
01への返信データとしてエラーを設定する。
【0117】中継プログラム1701は、ステップ25
11にてドライバ部117からの返信データをチェック
し、ハンドル解放に成功していれば、ステップ2512
にて処理を終了する。一方、ハンドル解放に失敗してい
れば、ステップ2513にて所定のエラー処理を実行す
る。
【0118】以上説明したように、本発明によれば、侵
入者が強い権限をもつユーザーに成りすました場合で
も、ファイルへのアクセスを制限できるという効果があ
る。
【0119】また、不正なファイルアクセスを未然に防
ぐことができるという効果がある。
【0120】また、機密性の高い情報へのアクセス手段
となるプログラム自体を保護できるという効果がある。
また、前記ポリシーファイルとアクセス制御手段を、外
部からの不正アクセスや攻撃から保護できるという効果
がある。
【0121】また、図1に示すシステムの、サーバ情報
処理装置とクライアント情報処理装置とを結ぶLAN11
5や、図17に示すシステムの、サーバ情報処理装置と
クライアント情報処理装置とを結ぶ外部ネットワーク1
706などの通信回線上にファイアウォールを設け、さ
らに本発明を併用すれば、より強固なセキュリティを確
保することが出来る。
【0122】
【発明の効果】本発明によれば、情報処理装置が管理す
るファイル、情報、および実行中のプロセスを不正なア
クセスから保護することが可能になる。
【図面の簡単な説明】
【図1】本発明の実施の形態におけるアクセス制御シス
テムの一構成例を示す図。
【図2】アクセス制御ポリシーの設定を格納するための
ポリシーファイルを示す図。
【図3】不正アクセスが発生した事実を記録するための
アクセスログファイルを示す図。
【図4】ファイルI/Oフックプログラム106とアク
セス制御プログラム110を構成するプログラムルーチ
ンを示す図。
【図5】本発明の実施の一形態において、各モジュール
間を流れるデータの通信経路を示す図。
【図6】本発明の実施の一形態において、各モジュール
間を流れるデータの構造を示す図。
【図7】ファイルI/Oフックルーチン400の処理の
フローチャートを示す図。
【図8】オープン処理ルーチン401の処理のフローチ
ャートを示す図。
【図9】オープン制御ルーチン405の処理のフローチ
ャートを示す図。
【図10】オープンファイルテーブルの構造体とそのリ
ストを示す図。
【図11】オープンファイルテーブルに登録されるデー
タの一例を示す図。
【図12】クローズ処理ルーチン402の処理のフロー
チャートを示す図。
【図13】リード・ライト処理ルーチン403の処理の
フローチャートを示す図。
【図14】アクセスログ登録ルーチン406の処理のフ
ローチャートを示す図。
【図15】削除・リネーム処理ルーチン404の処理の
フローチャートを示す図。
【図16】削除・リネーム処理ルーチン407の処理の
フローチャートを示す図。
【図17】プロセス間通信に関するアクセス制御システ
ムの一構成例を示す図。
【図18】プロセス間通信に関するポリシーの設定を格
納するためのファイルを示す図。
【図19】不正なプロセス間通信が発生した事実を記録
するためのログファイルを示す図。
【図20】通信管理テーブルのリストを示す図。
【図21】機密用OS122上のプログラムによる通信
用ハンドル取得処理のフローチャートを示す図。
【図22】機密用OS122上のプログラムによる通信
用ハンドル解放処理のフローチャートを示す図。
【図23】サービス用OS103上のプログラムによる
通信用ハンドル取得処理のフローチャート(前半)を示
す図。
【図24】サービス用OS103上のプログラムによる
通信用ハンドル取得処理のフローチャート(後半)を示
す図。
【図25】サービス用OS103上のプログラムによる
通信用ハンドル解放処理のフローチャートを示す図。
【図26】オープン制御ルーチン405の処理のフロー
チャート(その2)を示す図。
【符号の説明】
100・・・サーバ情報処理装置、101・・・サービス用O
Sが管理するメモリ、102・・・セキュリティ用OSが
管理するメモリ、103・・・サービス用OS、104・・・
セキュリティ用OS、105・・・I/Oマネージャ、1
06・・・ファイルI/Oフックプログラム、107・・・フ
ァイルシステムドライバ、108・・・OS間通信制御
部、109・・・サーバプログラム、110・・・アクセス制
御プログラム、111・・・CPU、112・・・ディスクコ
ントローラ、113・・・LANコントローラ、114・・・
磁気デバイス、115・・・LAN、116・・・複数OS制
御プログラム、117〜119・・・ドライバ部、120・
・・クライアント情報処理装置、121・・・クライアント
プログラム、200・・・ポリシーファイル、300・・・ア
クセスログファイル、501〜506・・・通信経路、6
00・・・I/Oパケット、610・・・リクエストパケッ
ト、620・・・レスポンスパケット、1000・・・オープ
ンファイルテーブル、1700・・・通信制御プログラ
ム、1701・・・中継プログラム、1703・・・機密プロ
グラム、1704〜1705・・・機密情報、1706・・・
外部ネットワークとの接続回線、1707・・・内部ネッ
トワークとの接続回線、1708・・・機密用OSが管理
するメモリ、1800・・・通信制御ポリシー、1900・
・・通信ログ、2000・・・通信管理テーブル
───────────────────────────────────────────────────── フロントページの続き (72)発明者 梶浦 敏範 愛知県尾張旭市晴丘町池上1番地 株式会 社日立製作所情報機器事業部内 Fターム(参考) 5B017 AA01 BA06 BB06 CA16 5B076 FB05 5B082 GA11 5B085 AE00 BG03 BG07

Claims (38)

    【特許請求の範囲】
  1. 【請求項1】各種処理に必要な情報を格納するための記
    憶部と、 記憶媒体に格納されたファイルへの入出力処理部と、 前記ファイルへのアクセス制御ポリシーを記述した,前
    記記憶部中のポリシーファイルと、 当該ファイルアクセス要求の正当性を前記アクセス制御
    ポリシーに基づき判定するアクセス制御処理部と、 前記入出力処理部を用いたファイルアクセス要求の発行
    を監視し、発行されたファイルアクセス要求を前記アク
    セス制御処理部に伝え、正当性判定結果を前記アクセス
    制御処理部から受信する監視処理部と、 前記入出力処理部とアクセス制御処理部と監視処理部各
    々が使用する前記記憶部中の記憶領域と,前記ポリシー
    ファイルとを、前記前記入出力処理部とアクセス制御処
    理部と監視処理部のいずれとも異なるアクセス実行処理
    部から保護するための排他制御部と、を備え、 前記ポリシーファイルは、アクセス制御ポリシーとし
    て,アクセス対象となるファイルについて、アクセス要
    求発行元とアクセス実行処理部とアクセスタイプとを特
    定する情報を備え、 前記監視処理部は、アクセス要求発行元とアクセス実行
    処理部とアクセスタイプとを特定する情報を用いて、前
    記発行されたファイルアクセス要求を伝えるアクセス制
    御システム。
  2. 【請求項2】請求項1記載のアクセス制御システムであ
    って、 前記アクセス制御ポリシーは、前記ファイルに対して禁
    止されたアクセスタイプと、該禁止されたアクセスが発
    生した場合にアクセス要求発行元に返すべきエラーコー
    ドと、例外として該アクセス要求を許可されたアクセス
    実行処理部とアクセス要求発行元とを特定する情報とか
    らなるアクセス制御システム。
  3. 【請求項3】請求項2記載のアクセス制御システムであ
    って、 前記アクセス制御ポリシーに記すアクセス実行処理部
    は、プログラムであり、該プログラムのパス名と、該プ
    ログラムの特徴値との組合せで特定するアクセス制御シ
    ステム。
  4. 【請求項4】請求項3記載のアクセス制御システムにお
    いて、 さらに、ファイルアクセス要求内容を登録するアクセス
    ログファイルを備え、前記アクセス制御処理部は、前記
    ファイルアクセス要求を前記ポリシーファイルの記述と
    照合し、正当性の判定結果を前記監視処理部に送信する
    とともに、 前記アクセス要求が許可されるものであれば、当該アク
    セス実行処理部の特徴値を、前記監視処理部に送信し、 前記アクセス要求が前記アクセス制御ポリシーに違反す
    るものであれば、該ファイルアクセス要求内容を、前記
    アクセスログファイルに登録するアクセス制御システ
    ム。
  5. 【請求項5】請求項4記載のアクセス制御システムにお
    いて、 さらにオープンファイルテーブルを備え、 前記アクセス制御処理部により正当であると判定された
    前記ファイルアクセス要求のアクセスタイプがオープン
    アクセスである場合、 前記アクセス制御処理部からレスポンス情報として取得
    した、アクセスタイプと、前記アクセス対象となるファ
    イルと、前記アクセス要求発行元と、アクセス実行処理
    部とを特定する情報を、前記オープンファイルテーブル
    に登録する処理部と、 前記アクセス要求としてリードアクセスまたはライトア
    クセスが発行された場合は、 前記オープンファイルテーブルを検索し、前記アクセス
    要求の正当性を判定する処理部を備えるアクセス制御シ
    ステム。
  6. 【請求項6】請求項5記載のアクセス制御システムであ
    って、 前記監視処理部は、さらに、 前記オープンファイルテーブルに登録されていないリー
    ドアクセス要求またはライトアクセス要求を検知した場
    合は、前記アクセス制御処理部を介して当該アクセス要
    求内容を前記アクセスログファイルに登録する処理部を
    備えるアクセス制御システム。
  7. 【請求項7】請求項6記載のアクセス制御システムであ
    って、 前記監視処理部は、さらに、 ファイルクローズ要求を検知した場合には前記オープン
    ファイルテーブルから該当する情報を削除する処理部を
    備えるアクセス制御システム。
  8. 【請求項8】請求項4記載のアクセス制御システムにお
    いて、 前記アクセス制御処理部は、 当該属性情報と前記ポリシーファイルの記述との前記照
    合を、前記ファイルアクセス要求のアクセスタイプがオ
    ープンアクセスであり、且つ当該ファイルアクセス要求
    の属性情報として、リードアクセスまたはライトアクセ
    スに関する情報が含まれる場合におこなうアクセス制御
    システム。
  9. 【請求項9】請求項8記載のアクセス制御システムであ
    って、 前記監視処理部は、さらに、 前記ファイルアクセス要求が正当であると判定された場
    合、前記前記監視処理部は前記アクセス実行処理部の特
    徴値を算出し、前記アクセス制御処理部から受信した前
    記特徴値とを比較する処理部と、 一致した場合には前記アクセス要求を許可する処理部
    と、 一致しない場合には前記ファイルアクセス要求を無効に
    すると共に、前記アクセス制御処理部を介して当該ファ
    イルアクセス内容を前記アクセスログファイルに登録す
    る処理部とを備えるアクセス制御システム。
  10. 【請求項10】ファイルへの入出力処理部と排他的に使
    用する第1の記憶処理部を管理する第1のOSと、排他
    的に使用する第2の記憶処理部を管理する第2のOS
    と、前記第1のOSと第2のOSとの間でデータ通信す
    るための通信処理部とを具備した情報処理システムにお
    いて、 前記第1のOSは,管理する前記ファイル入出力処理部
    へ発行されたファイルアクセス要求を監視する監視処理
    部を備え,前記第2のOSは,前記ファイルアクセス要
    求の正当性をアクセス制御ポリシーに基づき判定するア
    クセス制御処理部を備え,前記監視処理部は、前記アク
    セス要求を、前記通信処理部を介して、前記アクセス制
    御処理部に伝え、正当性判定結果を、前記通信処理部を
    介して、前記アクセス制御処理部から受信する情報処理
    システム。
  11. 【請求項11】請求項10記載の情報処理システムにお
    いて、 前記第2のOSは、前記アクセス制御ポリシーとして、
    アクセス対象となるファイルについて、アクセス要求発
    行元とアクセス実行処理部とアクセスタイプとを特定す
    る情報を記すポリシーファイルを備える情報処理システ
    ム。
  12. 【請求項12】請求項11記載の情報処理システムであ
    って、 前記アクセス制御ポリシーに記すアクセス実行処理部
    は、プログラムであり、該プログラムのパス名と、該プ
    ログラムの特徴値との組合せで特定する情報処理システ
    ム。
  13. 【請求項13】請求項12記載の情報処理システムにお
    いて、 前記第2のOSは、さらに、ファイルアクセス要求内容
    を登録するアクセスログファイルを備え、 前記アクセス制御処理部は、 前記ファイルアクセス要求を前記ポリシーファイルの記
    述と照合し、正当性の判定結果を前記監視処理部に送信
    するとともに、 前記アクセス要求が許可されるものであれば、当該アク
    セス実行処理部の特徴値を、前記監視処理部に送信し、 前記アクセス要求が前記アクセス制御ポリシーに違反す
    るものであれば、該ファイルアクセス要求内容を、前記
    アクセスログファイル登録する情報処理システム。
  14. 【請求項14】請求項13記載の情報処理システムにお
    いて、 前記第1のOSは、さらにオープンファイルテーブルを
    備え、 前記アクセス制御処理部により正当であると判定された
    前記ファイルアクセス要求のアクセスタイプがオープン
    アクセスである場合、 前記アクセス制御処理部からレスポンス情報として取得
    した、アクセスタイプと、前記アクセス対象となるファ
    イルと、前記アクセス要求発行元と、アクセス実行処理
    部とを特定する情報を、前記オープンファイルテーブル
    に登録する処理部と、 前記アクセス要求としてリードアクセスまたはライトア
    クセスが発行された場合は、 前記オープンファイルテーブルを検索し、前記アクセス
    要求の正当性を判定する処理部を備える情報処理システ
    ム。
  15. 【請求項15】請求項14記載の情報処理システムであ
    って、 前記監視処理部は、さらに、 前記オープンファイルテーブルに登録されていないリー
    ドアクセス要求またはライトアクセス要求を検知した場
    合は、前記アクセス制御処理部を介して当該アクセス要
    求内容を前記アクセスログファイルに登録する処理部を
    備える情報処理システム。
  16. 【請求項16】請求項15記載の情報処理システムであ
    って、 前記監視処理部は、さらに、 ファイルクローズ要求を検知した場合には前記オープン
    ファイルテーブルから該当する情報を削除する処理部を
    備える情報処理システム。
  17. 【請求項17】請求項13記載の情報処理システムであ
    って、 前記アクセス制御処理部は、当該属性情報と前記ポリシ
    ーファイルの記述との前記照合を、前記ファイルアクセ
    ス要求のアクセスタイプがオープンアクセスであり、且
    つ当該ファイルアクセス要求の属性情報として、リード
    アクセスまたはライトアクセスに関する情報が含まれる
    場合に行う情報処理システム。
  18. 【請求項18】請求項17記載の情報処理システムであ
    って、 前記監視処理部は、さらに、 前記ファイルアクセス要求が正当であると判定された場
    合、前記前記監視処理部は前記アクセス実行処理部の特
    徴値を算出し、前記アクセス制御処理部から受信した前
    記特徴値とを比較する処理部と、 一致した場合には前記アクセス要求を許可する処理部
    と、 一致しない場合には前記ファイルアクセス要求を無効に
    すると共に、前記アクセス制御処理部を介して当該ファ
    イルアクセス内容を前記アクセスログファイルに登録す
    る処理部とを備える情報処理システム。
  19. 【請求項19】ファイルへの入出力処理部と排他的に使
    用する第1の記憶処理部を管理する第1のOSと、排他
    的に使用する第2の記憶処理部を管理する第2のOS
    と、前記第1のOSと第2のOSとの間でデータ通信す
    るための通信処理部とを具備した情報処理システムに用
    いるアクセス制御システムであって、 前記第1のOSに組み込み、管理する前記ファイル入出
    力処理部へ発行されたファイルアクセス要求を監視する
    監視処理部と,前記第2のOSが制御し、前記ファイル
    アクセス要求の正当性をアクセス制御ポリシーに基づき
    判定するアクセス制御処理部と、を備え、 前記監視処理部は、前記アクセス要求を、前記通信処理
    部を介して、前記アクセス制御処理部に伝え、正当性判
    定結果を、前記通信処理部を介して、前記アクセス制御
    処理部から受信する情報処理システム。
  20. 【請求項20】ファイルへの入出力処理部と、前記ファ
    イルを格納する記憶処理部とを備えた情報処理装置に読
    み込まれ、実行され、前記情報処理装置上にアクセス制
    御システムを構成させるプログラムと前記プログラムが
    使用するファイルとを格納した記憶媒体であって、 前記プログラムが使用するファイルは、アクセス制御ポ
    リシーを記述したポリシーファイルであって、 前記アクセス制御ポリシーは、アクセス対象となるファ
    イルについて、アクセス要求発行元とアクセス実行処理
    部とアクセスタイプとを特定する情報を記したものであ
    り、 前記プログラムは、アクセス制御プログラムと、監視プ
    ログラムとを備え、前記アクセス制御プログラムは、前
    記情報処理装置に、 当該ファイルアクセス要求の正当性を前記アクセス制御
    ポリシーに基づき判定させ、 前記監視プログラムは、前記情報処理装置に、 前記入出力処理部を用いたファイルアクセス要求の発行
    を監視させ、 発行されたファイルアクセス要求を、アクセス要求発行
    元とアクセス実行処理部とアクセスタイプとを特定する
    情報を用いて、前記アクセス制御プログラムに伝えさせ
    ることを特徴とする記憶媒体。
  21. 【請求項21】各種処理に必要な情報を格納するための
    記憶部と、 サービス提供の役割を有する第1のプログ
    ラムと前記第1のプログラムのサービスを利用する第2
    のプログラムとが相互に通信するためのプロセス間通信
    処理部と、 前記第1のプログラムと第2のプログラムとを特定する
    情報と,前記第1のプログラムと第2のプログラムとに
    よるプロセス間通信に関するアクセス制御ポリシーを記
    述した,前記記憶部中の通信制御ポリシーファイルと、 当該プロセス間通信要求の正当性を前記通信制御ポリシ
    ーに基づき判定するアクセス制御処理部と、 前記第1のプログラムから前記プロセス間通信処理部へ
    発行される第1の通信要求通信要求を、前記第1のプロ
    グラムを特定する情報を用いて前記アクセス制御処理部
    に伝え、前記第1の通信要求の正当性判定結果を前記ア
    クセス制御処理部から受信する第1の監視処理部と、 前記第2のプログラムから前記プロセス間通信処理部へ
    発行される第2の通信要求を、前記第1のプログラムを
    特定する情報を用いて前記アクセス制御処理部に伝え、
    前記第2の正当性判定結果を前記アクセス制御処理部か
    ら受信する第2の監視処理部と、 前記プロセス間通信処理部と前記アクセス制御処理部と
    前記第1の監視処理部と前記第2の監視処理部が各々利
    用する記憶領域と、および前記通信制御ポリシーファイ
    ルを、前記プロセス間通信処理部とアクセス制御処理部
    と第1の監視処理部と第2の監視処理部のいずれにも該
    当しないアクセス実行処理部から保護するための排他制
    御部と、を備えるアクセス制御システム。
  22. 【請求項22】請求項21記載のアクセス制御システム
    であって、 前記第1のプログラムを特定する情報は、前記第1のプ
    ログラムを一意に識別可能な情報と、サービスの種類を
    識別するためのサービス番号との組合せであり、 前記第2のプログラムを特定する情報は、前記第2のプ
    ログラムを一意に識別可能な情報と、該プログラムの利
    用者情報と、特徴値との組合せであるアクセス制御シス
    テム。
  23. 【請求項23】請求項22記載のアクセス制御システム
    において、 さらに、プロセス間通信処理を実行中のプログラムの情
    報を登録する通信管理テーブルを備え、 前記アクセス制御処理部は、 現在プロセス間通信可能な状態にある前記第1のプログ
    ラムを特定する情報と、該第1のプログラムとプロセス
    間通信処理中の前記第2のプログラムを特定する情報と
    を、前記通信管理テーブルに登録して保持し、 前記第2の監視処理部からプロセス間通信要求を伝えら
    れた場合は、前記通信管理テーブルを検索し、第1のプ
    ログラムがプロセス間通信可能な状態にあり、且つ該第
    1のプログラムとプロセス間通信処理中の第2のプログ
    ラムが存在するか否かを判定することを特徴とするアク
    セス制御システム。
  24. 【請求項24】請求項23記載のアクセス制御システム
    において、 前記アクセス制御処理部は、現在プロセス間通信可能な
    状態にある第1のプログラムを特定する情報として、該
    第1のプログラムを一意に識別可能な情報と、サービス
    の種類を識別するためのサービス番号と、該第1のプロ
    グラムが指定した暗証情報とを前記通信管理テーブルに
    登録し、 該第1のプログラムとプロセス間通信処理中の第2のプ
    ログラムを特定する情報として、該第2のプログラムを
    一意に識別可能な情報を前記通信管理テーブルに登録し
    て保持することを特徴とするアクセス制御システム。
  25. 【請求項25】請求項24記載のアクセス制御システム
    において、 さらに、プロセス間通信要求内容を登録する通信ログフ
    ァイルを備え、 前記アクセス制御処理部は、 前記第1の監視処理部から伝えられる,前記第1のプロ
    グラムによるプロセス間通信要求を前記通信制御ポリシ
    ーファイルの記述と照合し、該プロセス間通信要求が前
    記通信制御ポリシーに登録されていれば、該第1のプロ
    グラムを特定する情報を、前記通信管理テーブルに登録
    する処理部と、 前記第1のプログラムによる該プロセス間通信要求が前
    記通信制御ポリシーに登録されていなければ、該プロセ
    ス間通信要求内容を、前記通信ログファイルに登録する
    処理部と、 前記第2の監視処理部から伝えられる,前記第2のプロ
    グラムによるプロセス間通信要求を前記通信制御ポリシ
    ーファイルの記述と照合し、該プロセス間通信要求が前
    記通信制御ポリシーにて許可されており、かつ前記第1
    のプログラムと通信可能な状態であれば、該第2のプロ
    グラムを特定する情報を前記通信管理テーブルに登録し
    て、前記暗証情報を通信管理テーブルから取り出して前
    記第2の監視処理部に返信する処理部と、 前記第2のプログラムによる該プロセス間通信要求が前
    記通信制御ポリシーに登録されていなければ、該プロセ
    ス間通信要求内容を、前記通信ログファイルに登録する
    処理部と、を備えることを特徴とするアクセス制御シス
    テム。
  26. 【請求項26】請求項25記載のアクセス制御システム
    であって、 前記アクセス制御処理部は、さらに、 前記第1の監視処理部または第2の監視処理部からプロ
    セス間通信の終了要求を伝えられた場合には、前記通信
    管理テーブルから該当する情報を削除する処理部を備え
    るアクセス制御システム。
  27. 【請求項27】請求項26記載のアクセス制御システム
    であって、 前記第1の監視処理部は、 前記第1のプログラムからプロセス間通信要求が発行さ
    れた場合に、該第1のプログラムを特定する情報を取得
    してから、前記発行されたプロセス間通信要求を前記ア
    クセス制御処理部に伝えるアクセス制御システム。
  28. 【請求項28】請求項27記載のアクセス制御システム
    であって、 前記第2の監視処理部は、 前記第2のプログラムからプロセス間通信要求が発行さ
    れた場合に、該第2のプログラムを特定する情報を取得
    してから、前記プロセス間通信の開始要求を前記アクセ
    ス制御処理部に伝えるアクセス制御システム。
  29. 【請求項29】排他的に使用する第1の記憶処理部を管
    理する第1のOSと、排他的に使用する第2の記憶処理
    部を管理する第2のOSと、前記第1のOSと第2のO
    Sとの間でデータ通信するための通信処理部とを具備し
    た情報処理システムにおいて、 前記第1のOSは,前記通信処理部へ発行されたプロセ
    ス間通信要求を監視する第1の監視処理部を備え,前記
    第2のOSは,前記プロセス間通信要求の正当性を通信
    制御ポリシーに基づき判定するアクセス制御処理部を備
    え,前記第1の監視処理部は、前記第1のOS上で動作
    する第1のプログラムを特定する情報を用いて、前記発
    行されたプロセス間通信要求を、前記通信処理部を介し
    て前記アクセス制御処理部に伝え、正当性判定結果を、
    前記通信処理部を介して、前記アクセス制御処理部から
    受信する情報処理システム。
  30. 【請求項30】請求項29記載の情報処理システムにお
    いて、 さらに、排他的に使用する第3の記憶処理部を管理する
    第3のOSを備え、 前記第3のOSは、通信処理部へ発行されたプロセス間
    通信要求を監視する第2の監視処理部を備え、 前記第2の監視処理部は、第3のOS上で動作する第2
    のプログラムを特定する情報を用いて、前記発行された
    プロセス間通信要求を、前記通信処理部を介して、前記
    アクセス制御処理部に伝え、正当性判定結果を前記通信
    処理部を介して、前記アクセス制御処理部から受信する
    情報処理システム。
  31. 【請求項31】請求項30記載の情報処理システムであ
    って、 前記第2のOSは、前記通信制御ポリシーとして、前記
    プロセス間通信が可能な第1のプログラムを特定する情
    報と、該第1のプログラムとの通信が許可された第2の
    プログラムを特定する情報との組合せを記すポリシーフ
    ァイルを備えることを特徴とする情報処理システム。
  32. 【請求項32】請求項31記載の情報処理システムであ
    って、 前記通信制御ポリシーに記す第1のプログラムを、該プ
    ログラムのパス名と、サービスの種類を識別するための
    サービス番号との組合せで特定し、 前記通信制御ポリシーに記す第2のプログラムを、該プ
    ログラムのパス名と、該プログラムの利用者情報と、特
    徴値との組合せで特定することを特徴とする情報処理シ
    ステム。
  33. 【請求項33】請求項32記載の情報処理システムにお
    いて、 前記通信処理部は、前記第1のOSと第2のOSと第3
    のOSとの間で行われるデータ通信を制御し、 前記第2のOSは、さらに、プロセス間通信処理を実行
    中のプログラムの情報を登録する通信管理テーブルを備
    え、 前記アクセス制御処理部は、現在プロセス間通信可能な
    状態にある第1のプログラムを特定する情報と、該第1
    のプログラムとプロセス間通信処理中の前記第3のOS
    上で動作する第2のプログラムを特定する情報とを、前
    記通信管理テーブルに登録して保持し、 前記第2の監視処理部からプロセス間通信要求を伝えら
    れた場合は、前記通信管理テーブルを検索し、第1のプ
    ログラムがプロセス間通信可能な状態にあり、且つ該第
    1のプログラムとプロセス間通信処理中の第2のプログ
    ラムが存在するか否かを判定することを特徴とする情報
    処理システム。
  34. 【請求項34】請求項33記載の情報処理システムにお
    いて、 前記アクセス制御処理部は、現在プロセス間通信可能な
    状態にある第1のプログラムを特定する情報として、該
    第1のプログラムを一意に識別可能な情報と、サービス
    の種類を識別するためのサービス番号と、該第1のプロ
    グラムが指定した暗証情報とを前記通信管理テーブルに
    登録し、 該第1のプログラムとプロセス間通信処理中の第2のプ
    ログラムを特定する情報として、該第2のプログラムを
    一意に識別可能な情報を前記通信管理テーブルに登録し
    て保持することを特徴とする情報処理システム。
  35. 【請求項35】請求項34記載の情報処理システムにお
    いて、 前記第2のOSは、さらに、プロセス間通信要求内容を
    登録する通信ログファイルを備え、 前記アクセス制御処理部は、前記第1の監視処理部から
    伝えられる,前記第1のプログラムによるプロセス間通
    信要求を前記通信制御ポリシーファイルの記述と照合
    し、該プロセス間通信要求元が前記通信制御ポリシーに
    登録されていれば、該第1のプログラムを特定する情報
    を、前記通信管理テーブルに登録する処理部と、 該プロセス間通信要求元が前記通信制御ポリシーに登録
    されていなければ、該プロセス間通信要求内容を、前記
    通信ログファイルに登録する処理部と、 前記第2の監視処理部から伝えられる,前記第3のプロ
    グラムによるプロセス間通信要求を前記通信制御ポリシ
    ーファイルの記述と照合し、該プロセス間通信要求元が
    前記通信制御ポリシーにて許可されており、、かつ前記
    第1のプログラムと通信可能な状態であれば、該第2の
    プログラムを特定する情報を前記通信管理テーブルに登
    録して、前記暗証情報を通信管理テーブルから取り出し
    て前記第2の監視処理部に返信する処理部と、 前記第3のプログラムによる該プロセス間通信要求元が
    前記通信制御ポリシーに登録されていなければ、該プロ
    セス間通信要求内容を、前記通信ログファイルに登録す
    る処理部と、を備えることを特徴とする情報処理システ
    ム。
  36. 【請求項36】請求項35記載の情報処理システムであ
    って、 前記アクセス制御処理部は、さらに、 前記第1の監視処理部または第2の監視処理部からプロ
    セス間通信の終了要求を伝えられた場合には、前記通信
    管理テーブルから該当する情報を削除する処理部を備え
    ることを特徴とする情報処理システム。
  37. 【請求項37】請求項36記載の情報処理システムであ
    って、 前記第1の監視処理部は、 前記第1のプログラムからプロセス間通信要求が発行さ
    れた場合に、該第1のプログラムを特定する情報を取得
    してから、前記発行されたプロセス間通信要求を前記ア
    クセス制御処理部に伝える情報処理システム。
  38. 【請求項38】請求項37記載の情報処理システムであ
    って、 前記第2の監視処理部は、 前記第2のプログラムからプロセス間通信要求が発行さ
    れた場合に、該第2のプログラムを特定する情報を取得
    してから、前記プロセス間通信の開始要求を前記アクセ
    ス制御処理部に伝え、該アクセス制御処理部にて許可さ
    れる場合には、前記プロセス間通信の開始を許可して、
    前記第1のプログラムに対して前記暗証情報を伝える処
    理部と、前記アクセス制御処理部にて許可されない場合
    には前記プロセス間通信の開始を無効にする処理部とを
    備えることを特徴とする情報処理システム。
JP2000300561A 2000-03-22 2000-09-28 アクセス制御システム Expired - Fee Related JP4177957B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000300561A JP4177957B2 (ja) 2000-03-22 2000-09-28 アクセス制御システム

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2000084706 2000-03-22
JP2000-84706 2000-03-22
JP2000300561A JP4177957B2 (ja) 2000-03-22 2000-09-28 アクセス制御システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008058919A Division JP2008204468A (ja) 2000-03-22 2008-03-10 アクセス制御システム

Publications (3)

Publication Number Publication Date
JP2001337864A true JP2001337864A (ja) 2001-12-07
JP2001337864A5 JP2001337864A5 (ja) 2004-12-24
JP4177957B2 JP4177957B2 (ja) 2008-11-05

Family

ID=26588305

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000300561A Expired - Fee Related JP4177957B2 (ja) 2000-03-22 2000-09-28 アクセス制御システム

Country Status (1)

Country Link
JP (1) JP4177957B2 (ja)

Cited By (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004302516A (ja) * 2003-03-28 2004-10-28 Ntt Docomo Inc 端末装置およびプログラム
JP2005129066A (ja) * 2003-10-24 2005-05-19 Microsoft Corp オペレーティングシステムリソース保護
WO2006004130A1 (ja) * 2004-07-05 2006-01-12 Science Park Corporation データ管理方法、そのプログラム及びプログラムの記録媒体
JP2006503369A (ja) * 2002-10-16 2006-01-26 ヴォーメトリック インコーポレイテッド セキュアなファイルシステムサーバーのアーキテクチャ及び方法
JP2006053788A (ja) * 2004-08-12 2006-02-23 Ntt Docomo Inc ソフトウェア動作監視装置及びソフトウェア動作監視方法
WO2006030924A1 (en) * 2004-09-17 2006-03-23 Ricoh Company, Ltd. Electronic apparatus, electronic apparatus system, control method and computer-readable storage medium
JP2006164184A (ja) * 2004-12-10 2006-06-22 Ntt Docomo Inc プログラム分割装置、プログラム実行装置、プログラム分割方法及びプログラム実行方法
WO2006126686A1 (ja) * 2005-05-26 2006-11-30 Matsushita Electric Industrial Co., Ltd. データ処理装置
JP2006330835A (ja) * 2005-05-23 2006-12-07 Kyocera Corp デバイス制御装置、デバイス制御方法およびプログラム
JP2007034341A (ja) * 2003-08-22 2007-02-08 Nec Corp コンピュータシステム及びそれに用いるプログラム実行環境実現方法並びにそのプログラム
KR100685672B1 (ko) * 2004-11-29 2007-02-23 주식회사 안철수연구소 컴퓨터 프로그램에 의한 자동입력 방지방법
JP2007141171A (ja) * 2005-11-22 2007-06-07 Hitachi Ltd ファイルサーバ、ファイルサーバのログ管理システム及びファイルサーバのログ管理方法
US7260839B2 (en) 2002-07-08 2007-08-21 Hitachi, Ltd. System and method for secure wall
JP2007286905A (ja) * 2006-04-17 2007-11-01 Nec System Technologies Ltd 情報処理端末装置、ファイル流出防止方法およびファイル流出防止プログラム
JP2007334386A (ja) * 2006-06-12 2007-12-27 Hitachi Software Eng Co Ltd 機密情報の管理プログラム
JP2008512746A (ja) * 2004-09-08 2008-04-24 インテル・コーポレーション オペレーティングシステム独立エージェント
US7380267B2 (en) 2002-10-17 2008-05-27 Hitachi, Ltd. Policy setting support tool
WO2008081801A1 (ja) * 2006-12-27 2008-07-10 Panasonic Corporation 情報端末、セキュリティデバイス、データ保護方法及びデータ保護プログラム
WO2008114522A1 (ja) * 2007-03-19 2008-09-25 Nec Personal Products, Ltd. ファイルアクセス先制御装置、その方法及びそのコンピュータプログラムプロダクツ
WO2008120537A1 (ja) * 2007-03-19 2008-10-09 Toyota Jidosha Kabushiki Kaisha 情報処理装置
JP2008299409A (ja) * 2007-05-29 2008-12-11 Nippon Telegr & Teleph Corp <Ntt> データ登録方法、データ登録プログラムおよび記録媒体
WO2009081530A1 (ja) * 2007-12-26 2009-07-02 Nec Corporation 仮想計算機システム、ポリシ強制システム、ポリシ強制方法及び仮想計算機制御用プログラム
WO2009102006A1 (ja) * 2008-02-14 2009-08-20 Nec Corporation アクセス制御装置、その方法及び情報記録媒体
WO2009107330A1 (ja) * 2008-02-25 2009-09-03 パナソニック株式会社 情報処理装置及びその制御方法
JP2010503904A (ja) * 2006-09-15 2010-02-04 ソニー デーアーデーツェー オーストリア アクチェンゲゼルシャフト アドオンデータファイルへのアクセスを管理する方法及びシステム
JP2010079813A (ja) * 2008-09-29 2010-04-08 Hitachi Software Eng Co Ltd ポリシーベースのファイルサーバアクセス制御方法及びシステム
JP4667360B2 (ja) * 2003-01-23 2011-04-13 ヴァーダシス・インコーポレーテッド ディジタル資産の管理された配布
JP4667359B2 (ja) * 2003-01-23 2011-04-13 ヴァーダシス・インコーポレーテッド イベントのジャーナル化によるディジタル資産使用アカウンタビリティ
JP2011192275A (ja) * 2010-03-16 2011-09-29 Softcamp Co Ltd 応用プログラムのファイル入出力保安方法及び保安システム
JP2011526391A (ja) * 2008-06-27 2011-10-06 マイクロソフト コーポレーション アプリケーションセットに対する保護されたコンテンツの許可
JP2011198256A (ja) * 2010-03-23 2011-10-06 Nomura Research Institute Ltd コンテント保護装置
JP4853671B2 (ja) * 2005-03-24 2012-01-11 日本電気株式会社 アクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラム
US8146167B2 (en) 2005-07-29 2012-03-27 Sony Computer Entertainment Inc. Use management method for peripheral device, electronic system and component device thereof
US8195737B2 (en) 2004-06-15 2012-06-05 Sony Computer Entertainment Inc. Process management apparatus, computer systems, distributed processing method, and computer program
JP2015505391A (ja) * 2011-12-01 2015-02-19 マイクロソフト コーポレーション 安全なリソースへのアプリケーション・アクセスの認可
JP2015056090A (ja) * 2013-09-13 2015-03-23 株式会社日立ソリューションズ ファイルアクセス制御装置、ファイルアクセス制御プログラム及びファイルアクセス制御方法
JP2016507124A (ja) * 2013-02-19 2016-03-07 シマンテック コーポレーションSymantec Corporation 仮想化環境においてアプリケーション及びデバイスを制御する方法並びに技術
JP2016177632A (ja) * 2015-03-20 2016-10-06 アイシン・エィ・ダブリュ株式会社 セキュリティ管理システムおよびセキュリティ管理方法
JP2020095546A (ja) * 2018-12-13 2020-06-18 デジタルア−ツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
JP2021022393A (ja) * 2016-08-08 2021-02-18 ナムソフト カンパニー,リミテッド フィッシング又はランサムウェア攻撃を遮断する方法及びシステム
KR102542213B1 (ko) * 2022-11-11 2023-06-14 펜타시큐리티시스템 주식회사 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023085210A (ja) 2021-12-08 2023-06-20 パナソニックIpマネジメント株式会社 情報処理装置及び判定方法
JP2023144561A (ja) 2022-03-28 2023-10-11 パナソニックIpマネジメント株式会社 情報処理装置及び情報処理装置の制御方法

Cited By (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7260839B2 (en) 2002-07-08 2007-08-21 Hitachi, Ltd. System and method for secure wall
JP2006503369A (ja) * 2002-10-16 2006-01-26 ヴォーメトリック インコーポレイテッド セキュアなファイルシステムサーバーのアーキテクチャ及び方法
JP4896400B2 (ja) * 2002-10-16 2012-03-14 ヴォーメトリック インコーポレイテッド セキュアなファイルシステムサーバーのアーキテクチャ及び方法
US7380267B2 (en) 2002-10-17 2008-05-27 Hitachi, Ltd. Policy setting support tool
JP4667360B2 (ja) * 2003-01-23 2011-04-13 ヴァーダシス・インコーポレーテッド ディジタル資産の管理された配布
JP4667359B2 (ja) * 2003-01-23 2011-04-13 ヴァーダシス・インコーポレーテッド イベントのジャーナル化によるディジタル資産使用アカウンタビリティ
JP2004302516A (ja) * 2003-03-28 2004-10-28 Ntt Docomo Inc 端末装置およびプログラム
JP2007034341A (ja) * 2003-08-22 2007-02-08 Nec Corp コンピュータシステム及びそれに用いるプログラム実行環境実現方法並びにそのプログラム
JP2005129066A (ja) * 2003-10-24 2005-05-19 Microsoft Corp オペレーティングシステムリソース保護
US8195737B2 (en) 2004-06-15 2012-06-05 Sony Computer Entertainment Inc. Process management apparatus, computer systems, distributed processing method, and computer program
JPWO2006004130A1 (ja) * 2004-07-05 2008-07-31 サイエンスパーク株式会社 データ管理方法、そのプログラム及びプログラムの記録媒体
JP4610557B2 (ja) * 2004-07-05 2011-01-12 サイエンスパーク株式会社 データ管理方法、そのプログラム及びプログラムの記録媒体
WO2006004130A1 (ja) * 2004-07-05 2006-01-12 Science Park Corporation データ管理方法、そのプログラム及びプログラムの記録媒体
JP2006053788A (ja) * 2004-08-12 2006-02-23 Ntt Docomo Inc ソフトウェア動作監視装置及びソフトウェア動作監視方法
JP2008512746A (ja) * 2004-09-08 2008-04-24 インテル・コーポレーション オペレーティングシステム独立エージェント
WO2006030924A1 (en) * 2004-09-17 2006-03-23 Ricoh Company, Ltd. Electronic apparatus, electronic apparatus system, control method and computer-readable storage medium
KR100685672B1 (ko) * 2004-11-29 2007-02-23 주식회사 안철수연구소 컴퓨터 프로그램에 의한 자동입력 방지방법
JP4664055B2 (ja) * 2004-12-10 2011-04-06 株式会社エヌ・ティ・ティ・ドコモ プログラム分割装置、プログラム実行装置、プログラム分割方法及びプログラム実行方法
JP2006164184A (ja) * 2004-12-10 2006-06-22 Ntt Docomo Inc プログラム分割装置、プログラム実行装置、プログラム分割方法及びプログラム実行方法
JP4853671B2 (ja) * 2005-03-24 2012-01-11 日本電気株式会社 アクセス権限判定システム、アクセス権限判定方法及びアクセス権限判定プログラム
US8336059B2 (en) 2005-03-24 2012-12-18 Nec Corporation Access right checking system, access right checking method, and access right checking program
JP4647392B2 (ja) * 2005-05-23 2011-03-09 京セラ株式会社 デバイス制御装置、デバイス制御方法およびプログラム
JP2006330835A (ja) * 2005-05-23 2006-12-07 Kyocera Corp デバイス制御装置、デバイス制御方法およびプログラム
US8117451B2 (en) 2005-05-23 2012-02-14 Kyocera Corporation Device controller, method for controlling a device, and program therefor
WO2006126686A1 (ja) * 2005-05-26 2006-11-30 Matsushita Electric Industrial Co., Ltd. データ処理装置
US7874009B2 (en) 2005-05-26 2011-01-18 Panasonic Corporation Data processing device
JP4886682B2 (ja) * 2005-05-26 2012-02-29 パナソニック株式会社 データ処理装置
US8146167B2 (en) 2005-07-29 2012-03-27 Sony Computer Entertainment Inc. Use management method for peripheral device, electronic system and component device thereof
JP2007141171A (ja) * 2005-11-22 2007-06-07 Hitachi Ltd ファイルサーバ、ファイルサーバのログ管理システム及びファイルサーバのログ管理方法
US8869285B2 (en) 2005-11-22 2014-10-21 Hitachi, Ltd. File server, file server log management system and file server log management method
JP2007286905A (ja) * 2006-04-17 2007-11-01 Nec System Technologies Ltd 情報処理端末装置、ファイル流出防止方法およびファイル流出防止プログラム
JP2007334386A (ja) * 2006-06-12 2007-12-27 Hitachi Software Eng Co Ltd 機密情報の管理プログラム
JP2010503904A (ja) * 2006-09-15 2010-02-04 ソニー デーアーデーツェー オーストリア アクチェンゲゼルシャフト アドオンデータファイルへのアクセスを管理する方法及びシステム
JP5097130B2 (ja) * 2006-12-27 2012-12-12 パナソニック株式会社 情報端末、セキュリティデバイス、データ保護方法及びデータ保護プログラム
US8392724B2 (en) 2006-12-27 2013-03-05 Panasonic Corporation Information terminal, security device, data protection method, and data protection program
WO2008081801A1 (ja) * 2006-12-27 2008-07-10 Panasonic Corporation 情報端末、セキュリティデバイス、データ保護方法及びデータ保護プログラム
JP2008234140A (ja) * 2007-03-19 2008-10-02 Nec Personal Products Co Ltd ファイルアクセス先制御装置、その方法及びそのプログラム
US8489634B2 (en) 2007-03-19 2013-07-16 Nec Personal Computers, Ltd File access destination control device and method
WO2008114522A1 (ja) * 2007-03-19 2008-09-25 Nec Personal Products, Ltd. ファイルアクセス先制御装置、その方法及びそのコンピュータプログラムプロダクツ
WO2008120537A1 (ja) * 2007-03-19 2008-10-09 Toyota Jidosha Kabushiki Kaisha 情報処理装置
JP2008299409A (ja) * 2007-05-29 2008-12-11 Nippon Telegr & Teleph Corp <Ntt> データ登録方法、データ登録プログラムおよび記録媒体
JP5387415B2 (ja) * 2007-12-26 2014-01-15 日本電気株式会社 仮想計算機システム、ポリシ強制システム、ポリシ強制方法及び仮想計算機制御用プログラム
WO2009081530A1 (ja) * 2007-12-26 2009-07-02 Nec Corporation 仮想計算機システム、ポリシ強制システム、ポリシ強制方法及び仮想計算機制御用プログラム
US8468522B2 (en) 2007-12-26 2013-06-18 Nec Corporation Virtual machine system, system for forcing policy, method for forcing policy, and virtual machine control program
WO2009102006A1 (ja) * 2008-02-14 2009-08-20 Nec Corporation アクセス制御装置、その方法及び情報記録媒体
JP5382450B2 (ja) * 2008-02-14 2014-01-08 日本電気株式会社 アクセス制御装置、その方法及び情報記録媒体
WO2009107330A1 (ja) * 2008-02-25 2009-09-03 パナソニック株式会社 情報処理装置及びその制御方法
JP2009199530A (ja) * 2008-02-25 2009-09-03 Panasonic Corp 情報処理装置及びその制御方法
US8689212B2 (en) 2008-02-25 2014-04-01 Panasonic Corporation Information processing device for controlling an application able to access a predetermined device, and control method using an information processing device for controlling an application able to access a predetermined device
CN101946252B (zh) * 2008-02-25 2013-08-14 松下电器产业株式会社 信息处理装置及其控制方法
JP2011526391A (ja) * 2008-06-27 2011-10-06 マイクロソフト コーポレーション アプリケーションセットに対する保護されたコンテンツの許可
JP2010079813A (ja) * 2008-09-29 2010-04-08 Hitachi Software Eng Co Ltd ポリシーベースのファイルサーバアクセス制御方法及びシステム
JP2011192275A (ja) * 2010-03-16 2011-09-29 Softcamp Co Ltd 応用プログラムのファイル入出力保安方法及び保安システム
JP2011198256A (ja) * 2010-03-23 2011-10-06 Nomura Research Institute Ltd コンテント保護装置
JP2015505391A (ja) * 2011-12-01 2015-02-19 マイクロソフト コーポレーション 安全なリソースへのアプリケーション・アクセスの認可
JP2016507124A (ja) * 2013-02-19 2016-03-07 シマンテック コーポレーションSymantec Corporation 仮想化環境においてアプリケーション及びデバイスを制御する方法並びに技術
JP2015056090A (ja) * 2013-09-13 2015-03-23 株式会社日立ソリューションズ ファイルアクセス制御装置、ファイルアクセス制御プログラム及びファイルアクセス制御方法
JP2016177632A (ja) * 2015-03-20 2016-10-06 アイシン・エィ・ダブリュ株式会社 セキュリティ管理システムおよびセキュリティ管理方法
JP2021022393A (ja) * 2016-08-08 2021-02-18 ナムソフト カンパニー,リミテッド フィッシング又はランサムウェア攻撃を遮断する方法及びシステム
JP2020095546A (ja) * 2018-12-13 2020-06-18 デジタルア−ツ株式会社 情報処理装置、情報処理方法、及び情報処理プログラム
KR102542213B1 (ko) * 2022-11-11 2023-06-14 펜타시큐리티시스템 주식회사 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법

Also Published As

Publication number Publication date
JP4177957B2 (ja) 2008-11-05

Similar Documents

Publication Publication Date Title
JP4177957B2 (ja) アクセス制御システム
JP2008204468A (ja) アクセス制御システム
EP1435030B1 (en) Stateful reference monitor
JP3165366B2 (ja) ネットワークセキュリティシステム
US8893300B2 (en) Security systems and methods to reduce data leaks in enterprise networks
US7379918B2 (en) Method and system for single reactivation of software product licenses
US20040078591A1 (en) Security System And Methodology For Providing Indirect Access Control
US20040199763A1 (en) Security System with Methodology for Interprocess Communication Control
US7712135B2 (en) Pre-emptive anti-virus protection of computing systems
US20070266444A1 (en) Method and System for Securing Data Stored in a Storage Device
US20070162909A1 (en) Reserving resources in an operating system
JP4023654B2 (ja) アプリケーションの監視方法およびプログラム
US20070294699A1 (en) Conditionally reserving resources in an operating system
JP2002324011A (ja) ストレージシステム
US20120174206A1 (en) Secure computing environment
US12003545B2 (en) System account access manager utilizing an endpoint detection and response system
WO2003034687A1 (en) Method and system for securing computer networks using a dhcp server with firewall technology
EP1944676B1 (en) Stateful reference monitor
JP2002304231A (ja) コンピュータシステム
JP2004005377A (ja) 多重システム停止の再発防止方法
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
JP4412489B2 (ja) 不正アクセスに対する防御ポリシ作成システム及び方法とそのプログラム
WO2024130949A1 (zh) 数据处理方法、设备及可读存储介质
JP2002328901A (ja) ユーザ認証システム、ユーザ認証の起動方法、ユーザ認証起動プログラム、記録媒体
KR100988140B1 (ko) 터미널 환경의 서버 기반 컴퓨팅 시스템에서의 액티브엑스 관리 시스템 및 그 방법

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20050223

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20060510

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20060510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080310

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080805

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080825

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110829

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120829

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130829

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees