JP2002268945A - サーバー情報処理システムのセキュリティー強化方法 - Google Patents
サーバー情報処理システムのセキュリティー強化方法Info
- Publication number
- JP2002268945A JP2002268945A JP2001114622A JP2001114622A JP2002268945A JP 2002268945 A JP2002268945 A JP 2002268945A JP 2001114622 A JP2001114622 A JP 2001114622A JP 2001114622 A JP2001114622 A JP 2001114622A JP 2002268945 A JP2002268945 A JP 2002268945A
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- control means
- information processing
- processing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 アクセス制御リストによるACLアクセス制
御機能を備えたサーバー情報処理システムにも適用可能
でACLアクセス制御の特質を活かしながら新たなアク
セス権設定の柔軟性を高めると共に、サーバーにアカウ
ントを有する人物のシステム内部からのハッキングや誤
操作を防止する。 【解決手段】 アクセス制御リストを用いるACLアク
セス制御手段が実装されているサーバー情報処理システ
ムに、階層的セキュリティーレベルを用いるSLA階層
アクセス制御手段を実装し、先ずACLアクセス制御手
段でユーザーからファイルへのアクセスの可否を判別
し、次いでSLA階層アクセス制御手段で前記アクセス
の可否の判別を行い、両者の許可判別に基づいてユーザ
ーからファイルへのアクセスの続行を許可する。
御機能を備えたサーバー情報処理システムにも適用可能
でACLアクセス制御の特質を活かしながら新たなアク
セス権設定の柔軟性を高めると共に、サーバーにアカウ
ントを有する人物のシステム内部からのハッキングや誤
操作を防止する。 【解決手段】 アクセス制御リストを用いるACLアク
セス制御手段が実装されているサーバー情報処理システ
ムに、階層的セキュリティーレベルを用いるSLA階層
アクセス制御手段を実装し、先ずACLアクセス制御手
段でユーザーからファイルへのアクセスの可否を判別
し、次いでSLA階層アクセス制御手段で前記アクセス
の可否の判別を行い、両者の許可判別に基づいてユーザ
ーからファイルへのアクセスの続行を許可する。
Description
【0001】
【発明の属する技術分野】この発明は、アクセス制御リ
スト(Access Control List=AC
L)を用いたアクセス制御技術と、グラフ解析に基づく
セキュリティーレベル設定(Security Lev
el Assignment=SLA)アルゴリズムに
よって設定される階層的セキュリティーレベルを用いる
階層アクセス制御技術とを併用したサーバー情報処理シ
ステムのセキュリティー強化方法に関するものである。
スト(Access Control List=AC
L)を用いたアクセス制御技術と、グラフ解析に基づく
セキュリティーレベル設定(Security Lev
el Assignment=SLA)アルゴリズムに
よって設定される階層的セキュリティーレベルを用いる
階層アクセス制御技術とを併用したサーバー情報処理シ
ステムのセキュリティー強化方法に関するものである。
【0002】
【従来の技術】コンピューターと通信ネットワークの結
合を基盤とする情報化社会の進展に伴い、サーバーを中
核とする情報処理システムに対するセキュリティー機能
の強化とその普及の重要性が高まっている。サーバー情
報処理システムのセキュリティー機能は、故意的行為か
偶発的行為かを問わず、サーバー情報処理システムにお
ける情報(データ、ファイル、ディレクトリー、など)
の機密漏洩や改竄を防止する機能であり、サーバー情報
処理システムのセキュリティー強化手段は、それが普及
する上でも既存の情報処理システムにも適用できること
が重要である。
合を基盤とする情報化社会の進展に伴い、サーバーを中
核とする情報処理システムに対するセキュリティー機能
の強化とその普及の重要性が高まっている。サーバー情
報処理システムのセキュリティー機能は、故意的行為か
偶発的行為かを問わず、サーバー情報処理システムにお
ける情報(データ、ファイル、ディレクトリー、など)
の機密漏洩や改竄を防止する機能であり、サーバー情報
処理システムのセキュリティー強化手段は、それが普及
する上でも既存の情報処理システムにも適用できること
が重要である。
【0003】従来からこのセキュリティー対策として、
情報へのアクセス権を適正に制限するアクセス制御技術
が研究開発されている。また情報へのアクセスは、ユー
ザーやプログラムのようなアクセス動作を起こす主体
(Subject)と、その主体のアクセスの対象とな
るデータ、ファイル、ディレクトリーのような客体(O
bject)との係わりであり、これらの主体と客体は
総じてエンティティーと称されている。
情報へのアクセス権を適正に制限するアクセス制御技術
が研究開発されている。また情報へのアクセスは、ユー
ザーやプログラムのようなアクセス動作を起こす主体
(Subject)と、その主体のアクセスの対象とな
るデータ、ファイル、ディレクトリーのような客体(O
bject)との係わりであり、これらの主体と客体は
総じてエンティティーと称されている。
【0004】アクセス制御の方式には、エンティティー
の全てにセキュリティーレベルを割り当てこのセキュリ
ティーレベルに対応したアクセスが実行される強制アク
セス制御と、エンティティーがアクセスを許可するため
のアクセス権を保持しそのアクセス権の存在によりアク
セスが制御される任意アクセス制御がある。
の全てにセキュリティーレベルを割り当てこのセキュリ
ティーレベルに対応したアクセスが実行される強制アク
セス制御と、エンティティーがアクセスを許可するため
のアクセス権を保持しそのアクセス権の存在によりアク
セスが制御される任意アクセス制御がある。
【0005】強制アクセス制御として、階層的セキュリ
ティーレベルを用いる階層アクセス制御、そしてグラフ
解析に基づくセキュリティーレベル設定(Securi
tyLevel Assignment=SLA)アル
ゴリズムによって設定される階層的セキュリティーレベ
ルを用いる階層アクセス制御(本願では「SLA階層ア
クセス制御」と略す)が従来から知られており、任意ア
クセス制御として、アクセス制御リスト(Access
Control List=ACL)を用いたアクセ
ス制御(本願では「ACLアクセス制御」と略す)が知
られている。
ティーレベルを用いる階層アクセス制御、そしてグラフ
解析に基づくセキュリティーレベル設定(Securi
tyLevel Assignment=SLA)アル
ゴリズムによって設定される階層的セキュリティーレベ
ルを用いる階層アクセス制御(本願では「SLA階層ア
クセス制御」と略す)が従来から知られており、任意ア
クセス制御として、アクセス制御リスト(Access
Control List=ACL)を用いたアクセ
ス制御(本願では「ACLアクセス制御」と略す)が知
られている。
【0006】ACLアクセス制御は、各客体(ファイ
ル)のそれぞれについて、その客体にアクセスできる主
体(ユーザ)とそのアクセス権限を特定するものであ
る。したがって、ACLアクセス制御はファイル単位の
細かなアクセス制御指定が可能である反面、アクセス権
の設定量はファイル数に比例して増加するため、アクセ
ス権の設定作業は容易ではない。
ル)のそれぞれについて、その客体にアクセスできる主
体(ユーザ)とそのアクセス権限を特定するものであ
る。したがって、ACLアクセス制御はファイル単位の
細かなアクセス制御指定が可能である反面、アクセス権
の設定量はファイル数に比例して増加するため、アクセ
ス権の設定作業は容易ではない。
【0007】また、ACLアクセス制御は現在多用され
ている既存のコンピューターのオペレーティングシステ
ム(OS)にも採用されており、例えばUNIX(登録
商標)系のオペレーションシステム(以下「UNIX系
システム」と略す)には通常、ACLアクセス制御機能
が標準的に備わっている。
ている既存のコンピューターのオペレーティングシステ
ム(OS)にも採用されており、例えばUNIX(登録
商標)系のオペレーションシステム(以下「UNIX系
システム」と略す)には通常、ACLアクセス制御機能
が標準的に備わっている。
【0008】ACLアクセス制御は情報の機密保持機能
面からの評価が高いが、情報処理システムにACLアク
セス制御を実装するためには各エンティティーに個々に
アクセス権を設定しなければならず、その設定は基本的
にサーバーを設置し運営するシステム管理者が、ユーザ
ー間の関係を把握して手動で行う必要がある。そのため
情報処理システムが大規模になるに従い、ユーザー間の
関係が複雑となってシステム管理者が考慮しなければな
らない内容が増大することから、各エンティティーにア
クセス権を設定するために要する時間が増加し、アクセ
ス権の設定ミスが生ずる可能性も高くなる。
面からの評価が高いが、情報処理システムにACLアク
セス制御を実装するためには各エンティティーに個々に
アクセス権を設定しなければならず、その設定は基本的
にサーバーを設置し運営するシステム管理者が、ユーザ
ー間の関係を把握して手動で行う必要がある。そのため
情報処理システムが大規模になるに従い、ユーザー間の
関係が複雑となってシステム管理者が考慮しなければな
らない内容が増大することから、各エンティティーにア
クセス権を設定するために要する時間が増加し、アクセ
ス権の設定ミスが生ずる可能性も高くなる。
【0009】このような実態から、ACLアクセス制御
をサーバー情報処理システムに実装する際のシステム管
理者の負担を軽減するために、アクセス権設定支援シス
テムが考えられおり、例えばUNIX系システムでは、
当初から持つファイルに対して、UNIX系システムの
設計者が勧める標準的なアクセス権が自動的に設定され
るようになっており、その限りにおいてシステム管理者
が改めて各ファイルにアクセス権を設定する作業の必要
はない。
をサーバー情報処理システムに実装する際のシステム管
理者の負担を軽減するために、アクセス権設定支援シス
テムが考えられおり、例えばUNIX系システムでは、
当初から持つファイルに対して、UNIX系システムの
設計者が勧める標準的なアクセス権が自動的に設定され
るようになっており、その限りにおいてシステム管理者
が改めて各ファイルにアクセス権を設定する作業の必要
はない。
【0010】しかしこのようなACLアクセス制御のア
クセス権設定支援システムが備わっている場合であって
も、システム管理者が後で追加したファイルやプログラ
ム群、あるいはユーザーが作成したファイル群に対し
て、そのアクセス権設定支援システムが自動的に適用さ
れるものではない。またUNIX系システムが当初から
持っているファイルのアクセス権を変更した場合は、そ
の部分がシステムの弱点となる可能性があり、システム
管理者は、そのような変更に対して、プログラムとユー
ザーの間の関係を調べ上げて十分に検討しなければなら
ないという問題がある。またアクセスの主体となるユー
ザの区分は3区分で、ファイル所有者本人、同所有者と
同グループに属するユーザー、同所有者とは異なるグル
ープに属するユーザーの3区分でしか分けることができ
ない。したがって、複数のプロジェクトグループが単一
のサーバーを利用する運営において、あるグループに対
しては情報の読み出し(read)と情報の書き込み
(write)の双方を許可し、別のグループに対して
は情報の読み出しのみを許可したいと考える場合でも、
グループ別にそのアクセス権を変更する運営をACL制
御で実現することはできない。
クセス権設定支援システムが備わっている場合であって
も、システム管理者が後で追加したファイルやプログラ
ム群、あるいはユーザーが作成したファイル群に対し
て、そのアクセス権設定支援システムが自動的に適用さ
れるものではない。またUNIX系システムが当初から
持っているファイルのアクセス権を変更した場合は、そ
の部分がシステムの弱点となる可能性があり、システム
管理者は、そのような変更に対して、プログラムとユー
ザーの間の関係を調べ上げて十分に検討しなければなら
ないという問題がある。またアクセスの主体となるユー
ザの区分は3区分で、ファイル所有者本人、同所有者と
同グループに属するユーザー、同所有者とは異なるグル
ープに属するユーザーの3区分でしか分けることができ
ない。したがって、複数のプロジェクトグループが単一
のサーバーを利用する運営において、あるグループに対
しては情報の読み出し(read)と情報の書き込み
(write)の双方を許可し、別のグループに対して
は情報の読み出しのみを許可したいと考える場合でも、
グループ別にそのアクセス権を変更する運営をACL制
御で実現することはできない。
【0011】さらにACLアクセス制御手段を備えた従
来の情報処理システムには、セキュリティーレベルの高
い権限の強いユーザーが、セキュリティーレベルの低い
ユーザーの所有するファイルに対し読み出しと書き込み
の両権限を有するものがあるが、この強い権限が悪用さ
れた場合に、権限の強い人物によってファイルの改竄を
行うことが可能となり、サーバー情報処理システムの内
部からのハッキングや誤操作により、システムに大きな
損傷が生ずる恐れもある。例えばUNIX系システムに
おいてセキュリティー上の危険性が高いと考えられる作
業の一つに、ルートユーザー(Root User)の
業務がある。UNIX系システムにおいて、ルートユー
ザは最大権限者であるが、実務の内容によっては過大な
ものとなり、その過大な権限の上でシステムの誤操作が
生じた場合には、サーバ情報処理システムに致命的な損
傷を与える恐れがあり、その予防手段が求められる。
来の情報処理システムには、セキュリティーレベルの高
い権限の強いユーザーが、セキュリティーレベルの低い
ユーザーの所有するファイルに対し読み出しと書き込み
の両権限を有するものがあるが、この強い権限が悪用さ
れた場合に、権限の強い人物によってファイルの改竄を
行うことが可能となり、サーバー情報処理システムの内
部からのハッキングや誤操作により、システムに大きな
損傷が生ずる恐れもある。例えばUNIX系システムに
おいてセキュリティー上の危険性が高いと考えられる作
業の一つに、ルートユーザー(Root User)の
業務がある。UNIX系システムにおいて、ルートユー
ザは最大権限者であるが、実務の内容によっては過大な
ものとなり、その過大な権限の上でシステムの誤操作が
生じた場合には、サーバ情報処理システムに致命的な損
傷を与える恐れがあり、その予防手段が求められる。
【0012】一方、SLA階層アクセス制御を含む階層
アクセス制御は、情報の流れ(Information
Flow)が一方向的であることが大きな特徴で、こ
のためセキュリティーレベルの上下関係で情報の流れの
有無が明確に判定できる利点がある。そして階層アクセ
ス制御の概念を導入したセキュリティーモデルとして、
Bell andLaPadulaモデル(以下「BL
Pモデル」と略す)が知られている。なおセキュリティ
ーモデルは、機密情報の管理、保護、配布に関する規則
や行動規範を形式的に定義したものである。
アクセス制御は、情報の流れ(Information
Flow)が一方向的であることが大きな特徴で、こ
のためセキュリティーレベルの上下関係で情報の流れの
有無が明確に判定できる利点がある。そして階層アクセ
ス制御の概念を導入したセキュリティーモデルとして、
Bell andLaPadulaモデル(以下「BL
Pモデル」と略す)が知られている。なおセキュリティ
ーモデルは、機密情報の管理、保護、配布に関する規則
や行動規範を形式的に定義したものである。
【0013】図1は、BLPモデルの性質を図式化して
示したものである。BLPモデルは、幾つかのアクセス
制御の規定に基づいて設計されており、具体的には、階
層的なセキュリティーレベルが存在する中で、上位セキ
ュリティーレベルの情報に対しては情報の書き込みのみ
が許可され、下位セキュリティーレベルの情報に対して
は情報の読み出しのみが許可され、同位セキュリティー
レベル間においては、情報の書き込みと読み出しが共に
許可される。すなわち例えば、ユーザー(主体)11が
ファイル(客体)10を読み出すためには、ユーザー1
1のセキュリティーレベルがファイル10のセキュリテ
ィーレベルよりも上位でなければならず、ユーザー12
(客体)がファイル10に書き込むためには、ユーザー
12のセキュリティレベルがファイル10のセキュリテ
ィーレベルよりも下位でなければならない。したがっ
て、所望のファイルを読み出すことができるユーザー
は、そのファイルのセキュリティーレベルに対し上位セ
キュリティーレベルのユーザーに限定され、下位セキュ
リティーレベルの主体が上位セキュリティーレベルのフ
ァイルを読み出すことはできないので、通常生じ易い下
位セキュリティーレベルのユーザーを通じた情報漏洩は
防止される。このように情報の流れの一方向性というB
LPモデルの特徴によって、上位セキュリティーレベル
の情報の機密性が確保される。また上位セキュリティー
レベルの主体が下位セキュリティーレベルの客体に書き
込みすることができないので、上位セキュリティーレベ
ルの主体によって下位セキュリティーレベルの客体が改
竄されることを防止できる。
示したものである。BLPモデルは、幾つかのアクセス
制御の規定に基づいて設計されており、具体的には、階
層的なセキュリティーレベルが存在する中で、上位セキ
ュリティーレベルの情報に対しては情報の書き込みのみ
が許可され、下位セキュリティーレベルの情報に対して
は情報の読み出しのみが許可され、同位セキュリティー
レベル間においては、情報の書き込みと読み出しが共に
許可される。すなわち例えば、ユーザー(主体)11が
ファイル(客体)10を読み出すためには、ユーザー1
1のセキュリティーレベルがファイル10のセキュリテ
ィーレベルよりも上位でなければならず、ユーザー12
(客体)がファイル10に書き込むためには、ユーザー
12のセキュリティレベルがファイル10のセキュリテ
ィーレベルよりも下位でなければならない。したがっ
て、所望のファイルを読み出すことができるユーザー
は、そのファイルのセキュリティーレベルに対し上位セ
キュリティーレベルのユーザーに限定され、下位セキュ
リティーレベルの主体が上位セキュリティーレベルのフ
ァイルを読み出すことはできないので、通常生じ易い下
位セキュリティーレベルのユーザーを通じた情報漏洩は
防止される。このように情報の流れの一方向性というB
LPモデルの特徴によって、上位セキュリティーレベル
の情報の機密性が確保される。また上位セキュリティー
レベルの主体が下位セキュリティーレベルの客体に書き
込みすることができないので、上位セキュリティーレベ
ルの主体によって下位セキュリティーレベルの客体が改
竄されることを防止できる。
【0014】
【発明が解決しようとする課題】この発明は、サーバー
情報処理システムのセキュリティー機能における上記の
ような現状と問題点を改善するもので、ACLアクセス
制御手段が既に実装されそれに基づくアクセス権が設定
されて稼動しているサーバー情報処理システムにも適用
可能で、そのACLアクセス制御の特質を活かしながら
新たなアクセス権設定の柔軟性を高め、アクセス権に関
して新たに区分される複数のユーザーグループが従来の
一つのサーバー情報処理システム利用するような運用形
態においても、当初設定されていたセキュリティーレベ
ル区分から新たなセキュリティーレベルへの変更割付を
も可能にしようとするものである。
情報処理システムのセキュリティー機能における上記の
ような現状と問題点を改善するもので、ACLアクセス
制御手段が既に実装されそれに基づくアクセス権が設定
されて稼動しているサーバー情報処理システムにも適用
可能で、そのACLアクセス制御の特質を活かしながら
新たなアクセス権設定の柔軟性を高め、アクセス権に関
して新たに区分される複数のユーザーグループが従来の
一つのサーバー情報処理システム利用するような運用形
態においても、当初設定されていたセキュリティーレベ
ル区分から新たなセキュリティーレベルへの変更割付を
も可能にしようとするものである。
【0015】同時にこの発明は、サーバーにアカウント
を有するユーザー、殊に強力なアクセス権を有するルー
トユーザーによるサーバー情報処理システムの内部から
のハッキングや誤操作でによって、サーバー情報処理シ
ステムが大きなダメージを受けることを防止しようとす
るものである。
を有するユーザー、殊に強力なアクセス権を有するルー
トユーザーによるサーバー情報処理システムの内部から
のハッキングや誤操作でによって、サーバー情報処理シ
ステムが大きなダメージを受けることを防止しようとす
るものである。
【0016】
【課題を解決するための手段】上記の目的を達するため
に、この発明のサーバー情報処理システムのセキュリテ
ィー強化方法は、アクセス制御リストを用いるACLア
クセス制御手段が既に実装されているサーバー情報処理
システムに、グラフ解析に基づくセキュリティーレベル
設定アルゴリズムによって設定される階層的セキュリテ
ィーレベルを用いるSLA階層アクセス制御手段を実装
し、先ず前記ACLアクセス制御手段において、主体エ
ンティティーからの客体エンティティーへのアクセス要
求を受けてそのアクセス可否の判別を行いその判別結果
に基づいて客体エンティティーへのアクセスを許可し、
次いで前記SLA階層アクセス制御手段において、前記
主体エンティティーからのアクセス要求に対するアクセ
ス可否の判別を行い、その判別結果に基づいて客体エン
ティティーへのアクセス続行を許可するものである。
に、この発明のサーバー情報処理システムのセキュリテ
ィー強化方法は、アクセス制御リストを用いるACLア
クセス制御手段が既に実装されているサーバー情報処理
システムに、グラフ解析に基づくセキュリティーレベル
設定アルゴリズムによって設定される階層的セキュリテ
ィーレベルを用いるSLA階層アクセス制御手段を実装
し、先ず前記ACLアクセス制御手段において、主体エ
ンティティーからの客体エンティティーへのアクセス要
求を受けてそのアクセス可否の判別を行いその判別結果
に基づいて客体エンティティーへのアクセスを許可し、
次いで前記SLA階層アクセス制御手段において、前記
主体エンティティーからのアクセス要求に対するアクセ
ス可否の判別を行い、その判別結果に基づいて客体エン
ティティーへのアクセス続行を許可するものである。
【0017】
【発明の実施の形態】この発明の実施形態の一つは、ア
クセス制御リストを用いるACLアクセス制御手段が既
に実装されているサーバー情報処理システムに、グラフ
解析に基づくセキュリティーレベル設定アルゴリズムに
よって設定されるSLA階層アクセス制御手段を実装
し、先ず前記ACLアクセス制御手段において、主体エ
ンティティーからの客体エンティティーへのアクセス要
求を受けてそのアクセス可否の判別を行いその判別結果
に基づいて客体エンティティーへのアクセスを許可する
と共に、その間、各客体のファイルが持つタイムスタン
プ情報を監視してそのタイムスタンプ情報の変化によっ
て前記客体エンティティーへのアクセスを検知し、この
アクセス検知に次いで、前記SLA階層アクセス制御手
段において、前記主体エンティティーからのアクセス要
求のアクセス可否の判別を行いその判別結果に基づいて
客体エンティティーへのアクセス続行を許可するサーバ
ー情報処理システムのセキュリティー強化方法である。
クセス制御リストを用いるACLアクセス制御手段が既
に実装されているサーバー情報処理システムに、グラフ
解析に基づくセキュリティーレベル設定アルゴリズムに
よって設定されるSLA階層アクセス制御手段を実装
し、先ず前記ACLアクセス制御手段において、主体エ
ンティティーからの客体エンティティーへのアクセス要
求を受けてそのアクセス可否の判別を行いその判別結果
に基づいて客体エンティティーへのアクセスを許可する
と共に、その間、各客体のファイルが持つタイムスタン
プ情報を監視してそのタイムスタンプ情報の変化によっ
て前記客体エンティティーへのアクセスを検知し、この
アクセス検知に次いで、前記SLA階層アクセス制御手
段において、前記主体エンティティーからのアクセス要
求のアクセス可否の判別を行いその判別結果に基づいて
客体エンティティーへのアクセス続行を許可するサーバ
ー情報処理システムのセキュリティー強化方法である。
【0018】この発明の他の実施形態は、アクセス制御
リストを用いるACLアクセス制御手段が既に実装され
ているサーバー情報処理システムに、グラフ解析に基づ
くセキュリティーレベル設定アルゴリズムによって設定
される階層的セキュリティーレベルを用いるSLA階層
アクセス制御手段を実装し、先ず前記ACLアクセス制
御手段において、主体エンティティーからの客体エンテ
ィティーへのアクセス要求を受けてそのアクセス可否の
判別を行いその判別結果に基づいて客体エンティティー
へのアクセスを許可すると共に、各客体エンティティー
のファイルサイズを監視するクォータプログラムによっ
て前記客体エンティティーへのアクセスを検知し、この
アクセス検知に次いで、前記SLA階層アクセス制御手
段において、前記主体エンティティーからのアクセス要
求のアクセス可否の判別を行いその判別結果に基づいて
客体エンティティーへのアクセス続行を許可するサーバ
ー情報処理システムのセキュリティー強化方法である。
リストを用いるACLアクセス制御手段が既に実装され
ているサーバー情報処理システムに、グラフ解析に基づ
くセキュリティーレベル設定アルゴリズムによって設定
される階層的セキュリティーレベルを用いるSLA階層
アクセス制御手段を実装し、先ず前記ACLアクセス制
御手段において、主体エンティティーからの客体エンテ
ィティーへのアクセス要求を受けてそのアクセス可否の
判別を行いその判別結果に基づいて客体エンティティー
へのアクセスを許可すると共に、各客体エンティティー
のファイルサイズを監視するクォータプログラムによっ
て前記客体エンティティーへのアクセスを検知し、この
アクセス検知に次いで、前記SLA階層アクセス制御手
段において、前記主体エンティティーからのアクセス要
求のアクセス可否の判別を行いその判別結果に基づいて
客体エンティティーへのアクセス続行を許可するサーバ
ー情報処理システムのセキュリティー強化方法である。
【0019】
【実施例】以下、この発明の実施例を図面を参考に説明
する。SLA階層アクセス制御はACLアクセス制御と
共存し得るものである、図2はこの発明に係るサーバー
情報処理システムのセキュリティー強化方法の一例を説
明するためのブロック図である。このサーバー情報処理
システムは、現在多用されているUNIX系システムの
ような、アクセス制御リストを用いるACLアクセス制
御手段23が既に実装されている情報処理システムに、
グラフ解析に基づくセキュリティーレベル設定アルゴリ
ズムによって設定される階層的セキュリティーレベルを
用いるSLA階層アクセス制御手段24を付加実装した
情報処理システムで、20はアクセスの客体となるファ
イル、21はアクセスの主体となるユーザーである。
する。SLA階層アクセス制御はACLアクセス制御と
共存し得るものである、図2はこの発明に係るサーバー
情報処理システムのセキュリティー強化方法の一例を説
明するためのブロック図である。このサーバー情報処理
システムは、現在多用されているUNIX系システムの
ような、アクセス制御リストを用いるACLアクセス制
御手段23が既に実装されている情報処理システムに、
グラフ解析に基づくセキュリティーレベル設定アルゴリ
ズムによって設定される階層的セキュリティーレベルを
用いるSLA階層アクセス制御手段24を付加実装した
情報処理システムで、20はアクセスの客体となるファ
イル、21はアクセスの主体となるユーザーである。
【0020】同システムで情報処理が行われる場合、次
の順序でファイル20へのアクセスが実行される。 ステップA1:ユーザー21からファイル20へのアク
セス要求が発生する。 ステップA2:ACLアクセス制御手段23がステップ
A1のアクセス要求を受けて動作しそのアクセス可否の
判断を行う。そしてシステム管理者がACLに基づいて
予め設定したアクセス条件に適合しない場合そのアクセ
ス要求はこの時点で中断され、適合したアクセス要求に
ついてはファイル20へのファイルアクセスを進行させ
る。 ステップA3:ステップA2でACLアクセス制御手段
23がアクセス要求をチェックしている間、ACLアク
セス制御手段23が各ファイル20が持つタイムスタン
プ20aを常に監視し、そのタイムスタンプ20aの内
容に変化が生じた場合、前記ファイルアクセスが試みら
れたと判断する。タイムスタンプ20aは、アクセス要
求の種類が情報の読み出しあるいは書き込みのいずれで
あっても書き換えられるので、タイムスタンプ20aの
情報変化(情報の書き換え)を感知することにより、フ
ァイルへアクセスが試みられたと判断できる。なお、タ
イムスタンプ情報の取得にはi−node情報を用いる
もので、図3に示すように、i−node情報のラスト
アクセス(last access)部分に示される値
が、ファイルアクセスの前後において変化を起こす特徴
がある。 ステップA4:タイムスタンプ情報の変化によってファ
イル20へのアクセスが検知された後、次いでSLA階
層アクセス制御手段24において前記ユーザーからのア
クセス要求のアクセス可否の判別を行う。そしてシステ
ム管理者が予め設定したセキュリティーレベルに適合し
ないアクセス要求と判断された場合は、直ちに前記ファ
イルアクセスの進行処理に割り込んでファイル20への
アクセスを中断させ、上記セキュリティーレベルに適合
するアクセス要求と判断された場合は、ファイル20に
対する処理が続行される。
の順序でファイル20へのアクセスが実行される。 ステップA1:ユーザー21からファイル20へのアク
セス要求が発生する。 ステップA2:ACLアクセス制御手段23がステップ
A1のアクセス要求を受けて動作しそのアクセス可否の
判断を行う。そしてシステム管理者がACLに基づいて
予め設定したアクセス条件に適合しない場合そのアクセ
ス要求はこの時点で中断され、適合したアクセス要求に
ついてはファイル20へのファイルアクセスを進行させ
る。 ステップA3:ステップA2でACLアクセス制御手段
23がアクセス要求をチェックしている間、ACLアク
セス制御手段23が各ファイル20が持つタイムスタン
プ20aを常に監視し、そのタイムスタンプ20aの内
容に変化が生じた場合、前記ファイルアクセスが試みら
れたと判断する。タイムスタンプ20aは、アクセス要
求の種類が情報の読み出しあるいは書き込みのいずれで
あっても書き換えられるので、タイムスタンプ20aの
情報変化(情報の書き換え)を感知することにより、フ
ァイルへアクセスが試みられたと判断できる。なお、タ
イムスタンプ情報の取得にはi−node情報を用いる
もので、図3に示すように、i−node情報のラスト
アクセス(last access)部分に示される値
が、ファイルアクセスの前後において変化を起こす特徴
がある。 ステップA4:タイムスタンプ情報の変化によってファ
イル20へのアクセスが検知された後、次いでSLA階
層アクセス制御手段24において前記ユーザーからのア
クセス要求のアクセス可否の判別を行う。そしてシステ
ム管理者が予め設定したセキュリティーレベルに適合し
ないアクセス要求と判断された場合は、直ちに前記ファ
イルアクセスの進行処理に割り込んでファイル20への
アクセスを中断させ、上記セキュリティーレベルに適合
するアクセス要求と判断された場合は、ファイル20に
対する処理が続行される。
【0021】このようにこの発明の方法では、ユーザー
からのアクセス要求が、ACLアクセス制御のアクセス
適合条件とSLA階層アクセス制御のセキュリティーレ
ベルの適合条件とを共に満たすAND条件で判別され、
いずれか一方の条件でも適合しなければそのアクセス要
求が受け付けられないので、サーバー情報処理システム
のセキュリティー機能は強化され、またACLアクセス
制御手段が既に実装されている既存の情報処理システム
にも適用できるので、セキュリティー対策を普及させる
上でも効果的である。
からのアクセス要求が、ACLアクセス制御のアクセス
適合条件とSLA階層アクセス制御のセキュリティーレ
ベルの適合条件とを共に満たすAND条件で判別され、
いずれか一方の条件でも適合しなければそのアクセス要
求が受け付けられないので、サーバー情報処理システム
のセキュリティー機能は強化され、またACLアクセス
制御手段が既に実装されている既存の情報処理システム
にも適用できるので、セキュリティー対策を普及させる
上でも効果的である。
【0022】しかしファイルのタイムスタンプの監視に
よってファイルアクセスを検知する図2に示した方法で
は、ACLアクセス制御と並行してファイルアクセス検
知が実行されるため、ファイルの監視に十分短い間隔を
設定しない場合、ファイルアクセスの中断処理が遅れて
間に合わなくなる事態も考えられる。
よってファイルアクセスを検知する図2に示した方法で
は、ACLアクセス制御と並行してファイルアクセス検
知が実行されるため、ファイルの監視に十分短い間隔を
設定しない場合、ファイルアクセスの中断処理が遅れて
間に合わなくなる事態も考えられる。
【0023】図4はこの発明に係るサーバー情報処理シ
ステムのセキュリティー強化方法の他の実施例を示すも
ので、図2の実施例における上記の危惧を除くことがで
きる。図4の実施例では、図2の実施例におけるタイム
スタンプの監視によるファイルアクセス検知に代え、フ
ァイルサイズを監視してアクセス制御を行うクォータプ
ログラムを、システム管理者の設定した階層レベル情報
を監視するように拡張してファイルアクセスを検知する
ようにしている。図4に示すサーバー情報処理システム
の基本は、図2に示したところと同様で、UNIX系シ
ステムのような、アクセス制御リストを用いるACLア
クセス制御手段43が既に実装されている情報処理シス
テムに、グラフ解析に基づくセキュリティーレベル設定
アルゴリズムによって設定される階層的セキュリティー
レベルを用いるSLA階層アクセス制御手段44を付加
実装した情報処理システムで、40はアクセスの客体と
なるファイル、40aはデフォルトアクセス制御手段、
41はアクセスの主体となるユーザー、45はクォータ
プログラムである。
ステムのセキュリティー強化方法の他の実施例を示すも
ので、図2の実施例における上記の危惧を除くことがで
きる。図4の実施例では、図2の実施例におけるタイム
スタンプの監視によるファイルアクセス検知に代え、フ
ァイルサイズを監視してアクセス制御を行うクォータプ
ログラムを、システム管理者の設定した階層レベル情報
を監視するように拡張してファイルアクセスを検知する
ようにしている。図4に示すサーバー情報処理システム
の基本は、図2に示したところと同様で、UNIX系シ
ステムのような、アクセス制御リストを用いるACLア
クセス制御手段43が既に実装されている情報処理シス
テムに、グラフ解析に基づくセキュリティーレベル設定
アルゴリズムによって設定される階層的セキュリティー
レベルを用いるSLA階層アクセス制御手段44を付加
実装した情報処理システムで、40はアクセスの客体と
なるファイル、40aはデフォルトアクセス制御手段、
41はアクセスの主体となるユーザー、45はクォータ
プログラムである。
【0024】このシステムで情報処理が行われる場合、
次の順序でファイル40へのアクセスが実行される。 ステップB1:ユーザー41からファイル40へのアク
セス要求が発生する。 ステップB2:ACLアクセス制御手段43がステップ
B1のアクセス要求を受けて動作しそのアクセス可否の
判断を行う。そしてシステム管理者がACLに基づいて
予め設定したアクセス条件に適合しないアクセス要求は
この時点で中断され、適合したアクセス要求については
続いてクォータプログラム45でチェックされる。 ステップB3:ステップB2でACLアクセス制御手段
43をパスしたアクセス要求は、クォータプログラム4
5を介してSLA階層アクセス制御手段44に送られ、
前記ユーザーからのアクセス要求のアクセス可否の判別
を行う。そこで前記ユーザーからのアクセス要求がシス
テム管理者が予め設定したセキュリティーレベルに適合
しないと判断された場合は、直ちに前記アクセス要求の
ファイルアクセスを中断させる。 ステップB4:そして前記ユーザーからのアクセス要求
がシステム管理者が予め設定した上記セキュリティーレ
ベルに適合すると判断された場合は、ファイル40に対
する処理が続行される。
次の順序でファイル40へのアクセスが実行される。 ステップB1:ユーザー41からファイル40へのアク
セス要求が発生する。 ステップB2:ACLアクセス制御手段43がステップ
B1のアクセス要求を受けて動作しそのアクセス可否の
判断を行う。そしてシステム管理者がACLに基づいて
予め設定したアクセス条件に適合しないアクセス要求は
この時点で中断され、適合したアクセス要求については
続いてクォータプログラム45でチェックされる。 ステップB3:ステップB2でACLアクセス制御手段
43をパスしたアクセス要求は、クォータプログラム4
5を介してSLA階層アクセス制御手段44に送られ、
前記ユーザーからのアクセス要求のアクセス可否の判別
を行う。そこで前記ユーザーからのアクセス要求がシス
テム管理者が予め設定したセキュリティーレベルに適合
しないと判断された場合は、直ちに前記アクセス要求の
ファイルアクセスを中断させる。 ステップB4:そして前記ユーザーからのアクセス要求
がシステム管理者が予め設定した上記セキュリティーレ
ベルに適合すると判断された場合は、ファイル40に対
する処理が続行される。
【0025】次にこの発明のサーバー情報処理システム
のセキュリティー強化方法をUNIX系システムに適用
する場合について見る。この発明の実施のためにSLA
階層アクセス制御手段をUNIX系システムに実装する
方式は、大別して、独自のプログラムによる割り込み処
理方式、またはUNIX系システムのオリジナルソース
プログラムの拡張方式となる。現在提供されている幾つ
かのUNIX系システムでは、ソースプログラムも合わ
せて提供されているため、前記のクォータプログラム方
式を選択する方が、UNIX系システム自身の機能とし
て無理なく実装可能と考えられる。ソースプログラムが
提供されていないUNIX系システムにかんしては、タ
イムスタンプ方式を用いることになるが、タイムスタン
プ方式ではUNIX系システムのアクセス制御と並行し
てファイルアクセス監視を行うため十分短い間隔でのア
クセス監視が必要と考えられるほか、動作の確実性に関
してもクォータプログラム方式に比して不利と考えられ
る。なお図10は、タイムスタンプ方式とクォータプロ
グラム方式の特徴を示したものである。
のセキュリティー強化方法をUNIX系システムに適用
する場合について見る。この発明の実施のためにSLA
階層アクセス制御手段をUNIX系システムに実装する
方式は、大別して、独自のプログラムによる割り込み処
理方式、またはUNIX系システムのオリジナルソース
プログラムの拡張方式となる。現在提供されている幾つ
かのUNIX系システムでは、ソースプログラムも合わ
せて提供されているため、前記のクォータプログラム方
式を選択する方が、UNIX系システム自身の機能とし
て無理なく実装可能と考えられる。ソースプログラムが
提供されていないUNIX系システムにかんしては、タ
イムスタンプ方式を用いることになるが、タイムスタン
プ方式ではUNIX系システムのアクセス制御と並行し
てファイルアクセス監視を行うため十分短い間隔でのア
クセス監視が必要と考えられるほか、動作の確実性に関
してもクォータプログラム方式に比して不利と考えられ
る。なお図10は、タイムスタンプ方式とクォータプロ
グラム方式の特徴を示したものである。
【0026】次にこの発明におけるSLA階層アクセス
制御の適用範囲について見る。このSLA階層アクセス
制御手段(プログラム)は、UNIX系システムの最大
権限者であるルートユーザーを除く範囲で動作する。ル
ートユーザーはSLA階層アクセス制御を開始および停
止させることのできる唯一のユーザーであり、SLA階
層アクセス制御の動作を開始した場合でも、SLA階層
アクセス制御がルートユーザーに対して適用されること
はない。また、ルートユーザー以外のユーザーは、この
SLA階層アクセス制御を独自に解除したり中断するこ
とはできない。UNIX系システムでは原則として、ル
ートユーザーによって開始されたサービスは、他のユー
ザーが中断することができないように設計されている。
図5は、ルートユーザーの位置付けを表すもので、UN
IX系システムに存在するユーザーは、ルートユーザー
510と、それ以外のユーザー511に区分に分かれ、
ルートユーザー510以外のユーザー511は、さらに
幾つかのセキュリティーレベルに区分される。なお、同
図に見られるバックアップユーザーは、階層アクセス制
御を利用した場合に形成が可能となる特殊なユーザーで
ある。
制御の適用範囲について見る。このSLA階層アクセス
制御手段(プログラム)は、UNIX系システムの最大
権限者であるルートユーザーを除く範囲で動作する。ル
ートユーザーはSLA階層アクセス制御を開始および停
止させることのできる唯一のユーザーであり、SLA階
層アクセス制御の動作を開始した場合でも、SLA階層
アクセス制御がルートユーザーに対して適用されること
はない。また、ルートユーザー以外のユーザーは、この
SLA階層アクセス制御を独自に解除したり中断するこ
とはできない。UNIX系システムでは原則として、ル
ートユーザーによって開始されたサービスは、他のユー
ザーが中断することができないように設計されている。
図5は、ルートユーザーの位置付けを表すもので、UN
IX系システムに存在するユーザーは、ルートユーザー
510と、それ以外のユーザー511に区分に分かれ、
ルートユーザー510以外のユーザー511は、さらに
幾つかのセキュリティーレベルに区分される。なお、同
図に見られるバックアップユーザーは、階層アクセス制
御を利用した場合に形成が可能となる特殊なユーザーで
ある。
【0027】次にこの発明の実施によって解決できる問
題や著しい実施効果について説明する。問題解決の一つ
は、下位権限に位置する情報(ファイル)の改竄を防止
できることである。UNIX系システムでは、セキュリ
ティーレベルが上位にある権限の大きな人物は、セキュ
リティーレベルが下位の人物が所有するファイルに対し
読み出しと書き込みの両方の権限を有する。このような
条件下おいては、この強い権限が悪用された場合、書類
の改竄を容易に行うことが可能となる。現に実社会にお
いて、大きな権限を有する人物がファイルの改竄や破棄
によって、不正を隠蔽する構造が見られることがある。
これに対し、この発明で主要な構成をなすSLA階層ア
クセス制御の特徴として、情報(ファイル)の流れが一
方向性であることから、下位ユーザーから上位ユーザー
に送られるファイルに対し上位ユーザーが読み出し・書
き込みの操作が可能であるが、下位ユーザーが所有する
オリジナルファイルに対しては、読み出しのみが可能
で、書き込みは不可であるので、大きな権限を有する上
位ユーザーによる情報の改竄を防止することができる。
すなわち図6に示すように、セキュリティーレベル:1
に設定された下位ユーザー62がオリジナルファイル6
0を作成しそのコピーファイル601を複製しコピーフ
ァイル602をセキュリティーレベル:2の上位ユーザ
ー61に送付することができるが、セキュリティーレベ
ル:2の上位ユーザー61は、送られてきたコピーファ
イル602に対しては読み出し・書き込み双方の権限を
持つが、セキュリティーレベル:1の下位ユーザー62
が所有するオリジナルファイル60に書き込みをして編
集することは許されておらず、したがってオリジナルフ
ァイル60を改竄することはできない。
題や著しい実施効果について説明する。問題解決の一つ
は、下位権限に位置する情報(ファイル)の改竄を防止
できることである。UNIX系システムでは、セキュリ
ティーレベルが上位にある権限の大きな人物は、セキュ
リティーレベルが下位の人物が所有するファイルに対し
読み出しと書き込みの両方の権限を有する。このような
条件下おいては、この強い権限が悪用された場合、書類
の改竄を容易に行うことが可能となる。現に実社会にお
いて、大きな権限を有する人物がファイルの改竄や破棄
によって、不正を隠蔽する構造が見られることがある。
これに対し、この発明で主要な構成をなすSLA階層ア
クセス制御の特徴として、情報(ファイル)の流れが一
方向性であることから、下位ユーザーから上位ユーザー
に送られるファイルに対し上位ユーザーが読み出し・書
き込みの操作が可能であるが、下位ユーザーが所有する
オリジナルファイルに対しては、読み出しのみが可能
で、書き込みは不可であるので、大きな権限を有する上
位ユーザーによる情報の改竄を防止することができる。
すなわち図6に示すように、セキュリティーレベル:1
に設定された下位ユーザー62がオリジナルファイル6
0を作成しそのコピーファイル601を複製しコピーフ
ァイル602をセキュリティーレベル:2の上位ユーザ
ー61に送付することができるが、セキュリティーレベ
ル:2の上位ユーザー61は、送られてきたコピーファ
イル602に対しては読み出し・書き込み双方の権限を
持つが、セキュリティーレベル:1の下位ユーザー62
が所有するオリジナルファイル60に書き込みをして編
集することは許されておらず、したがってオリジナルフ
ァイル60を改竄することはできない。
【0028】また、この発明による実用上の大きな効果
の一つは、サーバー情報処理システムのユーザーの中に
準システム管理者の権限を形成できることである。UN
IX系システムにおいて、危険性が高いと考えられる作
業の一つにルートユーザーの権限を用いる業務がある
が、業務の内容によっては、ルートユーザーの権限が過
剰なものになる場合がある。例えばファイルのバックア
ップ業務は単純な作業であるが、全てのファイルを読み
出す必要があるためルートユーザーの権限を必要とす
る。しかしルートユーザーはどのような作業も可能であ
るという性質上、この状態でのルートユーザーとしての
誤操作はサーバー情報処理システムに致命的な損傷を与
える恐れが大きい。このような危険に対し、階層アクセ
ス制御を併用するこの発明では、サーバー情報処理シス
テムのユーザーの中に準システム管理者の権限を形成す
ることができ、これによってルートユーザー強大な権限
にからむシステムの不測のダメージを予防することがで
きる。
の一つは、サーバー情報処理システムのユーザーの中に
準システム管理者の権限を形成できることである。UN
IX系システムにおいて、危険性が高いと考えられる作
業の一つにルートユーザーの権限を用いる業務がある
が、業務の内容によっては、ルートユーザーの権限が過
剰なものになる場合がある。例えばファイルのバックア
ップ業務は単純な作業であるが、全てのファイルを読み
出す必要があるためルートユーザーの権限を必要とす
る。しかしルートユーザーはどのような作業も可能であ
るという性質上、この状態でのルートユーザーとしての
誤操作はサーバー情報処理システムに致命的な損傷を与
える恐れが大きい。このような危険に対し、階層アクセ
ス制御を併用するこの発明では、サーバー情報処理シス
テムのユーザーの中に準システム管理者の権限を形成す
ることができ、これによってルートユーザー強大な権限
にからむシステムの不測のダメージを予防することがで
きる。
【0029】例えば大学において、サーバーの運営に学
生が関与する情況を想定した場合、サーバーのルートユ
ーザーの権限は、基本的にはその情報処理システムを熟
知した教員によって管理されるが、管理業務にボランテ
ィアとして参画する学生にも、バックアップ業務を依頼
するために、ルートユーザーの権限が与えられる。この
ような場合に、学生の知識・経験の不足からくる誤操作
によって、ファイルに大きな損傷が生ずる危険性が考え
られる。これに対しこの発明のセキュリティー強化方法
によれば、情報の流れが一方向である階層アクセス制御
を用いているので、最上位のセキュリティーレベルを設
定されたユーザーは全ての下位ユーザーのファイルの読
み出しのみが可能であり、準システム管理者あるいはバ
ックアップ業務に支障のないバックアップユーザーとし
ての役割を持つユーザーが形成されることになる。そし
てこの準システム管理者あるいはバックアップユーザー
は、階層アクセス制御の特徴から、下位のセキュリティ
ーレベルのファイルへの書き込みが許可されていないの
で、バックアップ作業中に誤操作によってファイルを損
傷させる危険を防止することができる。なお図7は、上
記の準システム管理者の形成構造と、この発明のサーバ
ー情報処理システムのセキュリティー強化方法における
機能を示している。
生が関与する情況を想定した場合、サーバーのルートユ
ーザーの権限は、基本的にはその情報処理システムを熟
知した教員によって管理されるが、管理業務にボランテ
ィアとして参画する学生にも、バックアップ業務を依頼
するために、ルートユーザーの権限が与えられる。この
ような場合に、学生の知識・経験の不足からくる誤操作
によって、ファイルに大きな損傷が生ずる危険性が考え
られる。これに対しこの発明のセキュリティー強化方法
によれば、情報の流れが一方向である階層アクセス制御
を用いているので、最上位のセキュリティーレベルを設
定されたユーザーは全ての下位ユーザーのファイルの読
み出しのみが可能であり、準システム管理者あるいはバ
ックアップ業務に支障のないバックアップユーザーとし
ての役割を持つユーザーが形成されることになる。そし
てこの準システム管理者あるいはバックアップユーザー
は、階層アクセス制御の特徴から、下位のセキュリティ
ーレベルのファイルへの書き込みが許可されていないの
で、バックアップ作業中に誤操作によってファイルを損
傷させる危険を防止することができる。なお図7は、上
記の準システム管理者の形成構造と、この発明のサーバ
ー情報処理システムのセキュリティー強化方法における
機能を示している。
【0030】さらにまた、ハッキング行為の察知・予防
に関して見れば、上記のような準システム管理者を形成
した場合、スイッチユーザー(Switch Use
r)と呼ばれるルートユーザーへの移行を準システム管
理者に限定させることで、ハッキング行為の発見を助け
ることができる。すなわち、侵入者は通常、ルートユー
ザーへ移行すると自分の侵入痕跡を消去する。この消去
の対象となるのはUNIXシステムが自動的に作成する
ログファイルであり、ルートユーザーの場合はこのログ
ファイルが編集可能となる。しかし、準システム管理者
を経由しなければルートユーザーへ移行できないという
原則を設定することによって、侵入者は一旦、ファイル
の変更を一切行えない準システム管理者の権限を経由し
なければならないことになる。このことは、侵入者が準
システム管理者への移行に成功したとしても更にルート
ユーザーに移行するまでの時間が余分に必要となること
を意味する。したがって、この時間を長くすることは、
正規のシステム管理者が侵入者の存在を察知できる機会
を増すことにつながり、ハッキング行為の予防に効果を
奏するものである。
に関して見れば、上記のような準システム管理者を形成
した場合、スイッチユーザー(Switch Use
r)と呼ばれるルートユーザーへの移行を準システム管
理者に限定させることで、ハッキング行為の発見を助け
ることができる。すなわち、侵入者は通常、ルートユー
ザーへ移行すると自分の侵入痕跡を消去する。この消去
の対象となるのはUNIXシステムが自動的に作成する
ログファイルであり、ルートユーザーの場合はこのログ
ファイルが編集可能となる。しかし、準システム管理者
を経由しなければルートユーザーへ移行できないという
原則を設定することによって、侵入者は一旦、ファイル
の変更を一切行えない準システム管理者の権限を経由し
なければならないことになる。このことは、侵入者が準
システム管理者への移行に成功したとしても更にルート
ユーザーに移行するまでの時間が余分に必要となること
を意味する。したがって、この時間を長くすることは、
正規のシステム管理者が侵入者の存在を察知できる機会
を増すことにつながり、ハッキング行為の予防に効果を
奏するものである。
【0031】次にこの発明のサーバー情報処理システム
のセキュリティー強化方法を、コンピューターを活用し
た大学の授業に適用する例を説明する。UNIX系シス
テムに用いられていた初期のACLでは、自分と同グル
ープのユーザーであれば、それらのユーザーが所持する
ファイルは閲覧が許可されている。ユーザーがその許可
設定に修正を加えることもできるが、大部分のユーザー
は初期設定のまま利用を続ける。このような場合、過去
の演習内容が参照されてしまう危険がある。すなわち、
既に演習を終えた人物のファイルが閲覧または複写さ
れ、不正なレポートが作成され、正常な授業の障害にな
ることが考えられる。このような情況に、この発明にか
かるサーバー情報処理システムのセキュリティー強化方
法を取り入れ、学年を単位としたセキュリティーレベル
を設定することにより、下位レベルに設定された学年生
は上位学年のファイルの閲覧ができなくなり、コンピュ
ーターを活用した授業の実を上げることができる。
のセキュリティー強化方法を、コンピューターを活用し
た大学の授業に適用する例を説明する。UNIX系シス
テムに用いられていた初期のACLでは、自分と同グル
ープのユーザーであれば、それらのユーザーが所持する
ファイルは閲覧が許可されている。ユーザーがその許可
設定に修正を加えることもできるが、大部分のユーザー
は初期設定のまま利用を続ける。このような場合、過去
の演習内容が参照されてしまう危険がある。すなわち、
既に演習を終えた人物のファイルが閲覧または複写さ
れ、不正なレポートが作成され、正常な授業の障害にな
ることが考えられる。このような情況に、この発明にか
かるサーバー情報処理システムのセキュリティー強化方
法を取り入れ、学年を単位としたセキュリティーレベル
を設定することにより、下位レベルに設定された学年生
は上位学年のファイルの閲覧ができなくなり、コンピュ
ーターを活用した授業の実を上げることができる。
【0032】
【発明の効果】上記の実施例からも明らかなように、こ
の発明のサーバー情報処理システムのセキュリティー強
化方法によれば、従来から多用されているACLアクセ
ス制御の特質を活かしながら新たなアクセス権設定の柔
軟性を高めることができる。したがって当初設定されて
いたセキュリティーレベル区分から新たなセキュリティ
ーレベル区分への変更も柔軟に可能になる。またこの発
明によれば、サーバーにアカウントを有するユーザー、
殊に強力なアクセス権を有するルートユーザーによるサ
ーバー情報処理システムの内部からのハッキングや誤操
作を防止して、サーバー情報処理システムセキュリティ
ー機能を強化することができる。
の発明のサーバー情報処理システムのセキュリティー強
化方法によれば、従来から多用されているACLアクセ
ス制御の特質を活かしながら新たなアクセス権設定の柔
軟性を高めることができる。したがって当初設定されて
いたセキュリティーレベル区分から新たなセキュリティ
ーレベル区分への変更も柔軟に可能になる。またこの発
明によれば、サーバーにアカウントを有するユーザー、
殊に強力なアクセス権を有するルートユーザーによるサ
ーバー情報処理システムの内部からのハッキングや誤操
作を防止して、サーバー情報処理システムセキュリティ
ー機能を強化することができる。
【図1】従来公知のBLPモデルの機能説明図。
【図2】この発明の一実施例を示すサーバー情報処理シ
ステムのセキュリティー強化方法の説明図。
ステムのセキュリティー強化方法の説明図。
【図3】同セキュリティー強化方法において用いるi−
node情報の変化図。
node情報の変化図。
【図4】この発明の他の実施例を示すサーバー情報処理
システムのセキュリティー強化方法の説明図。
システムのセキュリティー強化方法の説明図。
【図5】この発明のサーバー情報処理システムのセキュ
リティー強化方法におけるユーザーの構成図。
リティー強化方法におけるユーザーの構成図。
【図6】この発明のサーバー情報処理システムのセキュ
リティー強化方法の機能説明図。
リティー強化方法の機能説明図。
【図7】この発明のサーバー情報処理システムのセキュ
リティー強化方法の機能説明図。
リティー強化方法の機能説明図。
【図8】この発明のサーバー情報処理システムのセキュ
リティー強化方法の機能説明図。
リティー強化方法の機能説明図。
【図9】この発明のサーバー情報処理システムのセキュ
リティー強化方法の機能説明図。
リティー強化方法の機能説明図。
【図10】この発明の実施例の特徴比較図。
【図11】ACLアクセス制御とSLA階層アクセス制
御の比較図。
御の比較図。
20 : ファイル(客体) 20a: タイムスタンプ 21 : ユーザー(主体) 23 : ACLアクセス制御手段 24 : SLA階層アクセス制御手段 40 : ファイル(客体) 41 : ユーザー(主体) 43 : ACLアクセス制御手段 44 : SLA階層アクセス制御手段 45 : クォータプログラム 510: ルートユーザー(システム管理者) 511: ルートユーザー以外のユーザー 512: バックアップユーザー(準システム管理者) 513: ユーザー 61 : オリジナルファイル 601: コピーファイル 602: コピーファイル 61 : 上位ユーザー 62 : 下位ユーザー
───────────────────────────────────────────────────── フロントページの続き Fターム(参考) 5B017 AA03 BA06 BB09 CA16 5B082 EA11 5B085 AE06 BG07
Claims (4)
- 【請求項1】 アクセス制御リストを用いるACLアク
セス制御手段が既に実装されているサーバー情報処理シ
ステムに、グラフ解析に基づくセキュリティーレベル設
定アルゴリズムによって設定される階層的セキュリティ
ーレベルを用いるSLA階層アクセス制御手段を実装
し、先ず前記ACLアクセス制御手段において、主体エ
ンティティーからの客体エンティティーへのアクセス要
求を受けてそのアクセス可否の判別を行いその判別結果
に基づいて客体エンティティーへのアクセスを許可し、
次いで前記SLA階層アクセス制御手段において、前記
主体エンティティーからのアクセス要求に対するアクセ
ス可否の判別を行い、その判別結果に基づいて客体エン
ティティーへのアクセス続行を許可することを特徴とす
るサーバー情報処理システムのセキュリティー強化方
法。 - 【請求項2】 アクセス制御リストを用いるACLアク
セス制御手段が既に実装されているサーバー情報処理シ
ステムに、グラフ解析に基づくセキュリティーレベル設
定アルゴリズムによって設定されるSLA階層アクセス
制御手段を実装し、先ず前記ACLアクセス制御手段に
おいて、主体エンティティーからの客体エンティティー
へのアクセス要求を受けてそのアクセス可否の判別を行
いその判別結果に基づいて客体エンティティーへのアク
セスを許可すると共に、その間、各客体のファイルが持
つタイムスタンプ情報を監視してそのタイムスタンプ情
報の変化によって前記客体エンティティーへのアクセス
を検知し、このアクセス検知に次いで、前記SLA階層
アクセス制御手段において、前記主体エンティティーか
らのアクセス要求のアクセス可否の判別を行いその判別
結果に基づいて客体エンティティーへのアクセス続行を
許可することを特徴とするサーバー情報処理システムの
セキュリティー強化方法。 - 【請求項3】 スタンプ情報としてi−node情報を
用いることを特徴とする請求項2に記載のサーバー情報
処理システムのセキュリティー強化方法。 - 【請求項4】 アクセス制御リストを用いるACLアク
セス制御手段が既に実装されているサーバー情報処理シ
ステムに、グラフ解析に基づくセキュリティーレベル設
定アルゴリズムによって設定される階層的セキュリティ
ーレベルを用いるSLA階層アクセス制御手段を実装
し、先ず前記ACLアクセス制御手段において、主体エ
ンティティーからの客体エンティティーへのアクセス要
求を受けてそのアクセス可否の判別を行いその判別結果
に基づいて客体エンティティーへのアクセスを許可する
と共に、各客体エンティティーのファイルサイズを監視
するクォータプログラムによって前記客体エンティティ
ーへのアクセスを検知し、このアクセス検知に次いで、
前記SLA階層アクセス制御手段において、前記主体エ
ンティティーからのアクセス要求のアクセス可否の判別
を行いその判別結果に基づいて客体エンティティーへの
アクセス続行を許可することを特徴とするサーバー情報
処理システムのセキュリティー強化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001114622A JP3742969B2 (ja) | 2001-03-07 | 2001-03-07 | サーバー情報処理システムのセキュリティー強化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001114622A JP3742969B2 (ja) | 2001-03-07 | 2001-03-07 | サーバー情報処理システムのセキュリティー強化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002268945A true JP2002268945A (ja) | 2002-09-20 |
| JP3742969B2 JP3742969B2 (ja) | 2006-02-08 |
Family
ID=18965661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001114622A Expired - Fee Related JP3742969B2 (ja) | 2001-03-07 | 2001-03-07 | サーバー情報処理システムのセキュリティー強化方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3742969B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006155416A (ja) * | 2004-11-30 | 2006-06-15 | Ntt Docomo Inc | アクセス制御装置及びアクセス制御方法 |
-
2001
- 2001-03-07 JP JP2001114622A patent/JP3742969B2/ja not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006155416A (ja) * | 2004-11-30 | 2006-06-15 | Ntt Docomo Inc | アクセス制御装置及びアクセス制御方法 |
| JP4628073B2 (ja) * | 2004-11-30 | 2011-02-09 | 株式会社エヌ・ティ・ティ・ドコモ | アクセス制御装置及びアクセス制御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3742969B2 (ja) | 2006-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4667360B2 (ja) | ディジタル資産の管理された配布 | |
| Ilgun | USTAT: A real-time intrusion detection system for UNIX | |
| McIlroy et al. | Multilevel security in the UNIX tradition | |
| JP5462254B2 (ja) | コンピューティングプロセスのための最小特権アクセスの付与 | |
| JP3784423B2 (ja) | データセキュリティのための改良された方法、およびコンピュータシステム | |
| JP4177957B2 (ja) | アクセス制御システム | |
| US5347578A (en) | Computer system security | |
| Shieh et al. | On a pattern-oriented model for intrusion detection | |
| US8671448B1 (en) | Method and system for implementing mandatory file access control in native discretionary access control environments | |
| JP2007524148A (ja) | トラステッド・コンピュータ・システム | |
| JP2008204468A (ja) | アクセス制御システム | |
| WO2008091715A1 (en) | Labeling of data objects to apply and enforce policies | |
| US20070300299A1 (en) | Methods and apparatus to audit a computer in a sequestered partition | |
| KR20050039634A (ko) | 소프트웨어 제품의 애플리케이션 식별자 | |
| KR20090065183A (ko) | 셀트 문법 형식의 셀이눅스 보안정책 자동 생성 장치 및방법 | |
| CN111159762B (zh) | 一种强制访问控制下的主体可信验证方法及系统 | |
| Lee et al. | {PolyScope}:{Multi-Policy} Access Control Analysis to Compute Authorized Attack Operations in Android Systems | |
| CN109145536A (zh) | 一种网页防篡改方法及装置 | |
| JP2002268945A (ja) | サーバー情報処理システムのセキュリティー強化方法 | |
| JP2004302995A (ja) | ファイルアクセス制限プログラム | |
| JP4444604B2 (ja) | アクセス制御装置ならびにそのプログラム | |
| Watson | Introducing supporting infrastructure for trusted operating system support in FreeBSD | |
| Shyamasundar et al. | An experimental flow secure file system | |
| CN106886709B (zh) | 一种文件加密中的应用程序动态授信方法 | |
| Shan et al. | An OS Security Protection Model for Defeating Attacks from Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050509 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050906 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051011 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051102 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |