JP2007041881A - 情報処理装置、情報処理装置の制御方法及びソフトウェア - Google Patents

情報処理装置、情報処理装置の制御方法及びソフトウェア Download PDF

Info

Publication number
JP2007041881A
JP2007041881A JP2005225954A JP2005225954A JP2007041881A JP 2007041881 A JP2007041881 A JP 2007041881A JP 2005225954 A JP2005225954 A JP 2005225954A JP 2005225954 A JP2005225954 A JP 2005225954A JP 2007041881 A JP2007041881 A JP 2007041881A
Authority
JP
Japan
Prior art keywords
access control
setting
data
identification information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005225954A
Other languages
English (en)
Inventor
Masayuki Yoshino
雅之 吉野
Hironobu Kima
啓伸 來間
Kazuo Takaragi
和夫 宝木
Tatsutoshi Sakuraba
健年 櫻庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2005225954A priority Critical patent/JP2007041881A/ja
Publication of JP2007041881A publication Critical patent/JP2007041881A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】RBACモデルおよびTEモデルに基づく強制アクセス制御の設定が適切であることを検証する。
【解決手段】RBACモデルおよびTEモデルに基づくアクセス制御の設定ファイルをテーブルに登録しアクセスにする条件を設定したセキュリティポリシーとの関係が適切であるかを検証しその結果を出力する。詳しくは、コンピュータを利用する際に各利用者がアクセス可能なコンピュータの制御対象を定めたアクセス制御設定データをコンピュータで実行されるプログラム毎に記憶するアクセス制御設定データ記憶部と、各アクセス制御設定データが満たすべきアクセス制御の設定方針を記憶するセキュリティポリシーデータ記憶部と、各アクセス制御設定データがアクセス制御の設定方針に適合するか否かの検証を行う適合検証部と、検証の結果を出力する検証結果出力部と、を備える情報処理装置に関する。
【選択図】 図10

Description

本発明は、コンピュータに対する利用者からのアクセスを制御する技術に関し、特にアクセスを制御するための設定データの検証を可能とする情報処理装置、情報処理装置の制御方法及びソフトウェアに関する。
近年、システムのセキュリティを確保するための技術の一つとして、強制アクセス制御が注目されている。そしてシステムのOS(Operating System)の中には、この強制アクセス制御の機能をカーネルのモジュールに追加することにより、セキュリティ機能を高め、セキュアOSとして利用することができるものがある。
これらの強制アクセス制御を実装するモジュールはアクセス制御モデルと呼ばれるモデルに基づいており、近年はRBAC(Role-Based Access Control)モデルとTE(Type Enforcement)モデルと呼ばれるアクセス制御モデルが利用されている。
TEモデルとは、システム内のリソースにドメイン、またはタイプと呼ばれるラベル付けを行い、このドメインまたはタイプ間で許可するアクセスを設定する方式である。またRBACモデルとは、各ユーザにロール(役割)を割り当て、このロールに対し、TEモデルで割り当てたドメインの利用を設定する方式である。
これらの2つのアクセス制御モデルでは、通常のOSに比べてより細かくアクセスを制御することができるという長所をもつ。
RBACモデルとTEモデルを用いたアクセス制御は、システムのリソースにセキュリティ属性(ロール、ドメイン、タイプ)を付与し、このセキュリティ属性を用いてアクセスを制御する。一般に、システムのリソースは膨大な数で、かつ可変であるため、多くのシステムのアクセス制御の設定は利用するプログラムにサンプルとして提供されるアクセス制御の設定ファイルをシステムの環境毎に管理者が変更して設定している。
このような強制アクセス制御に関しては、様々な技術が開発されている(例えば特許文献1、特許文献2、非特許文献1、非特許文献2参照)。
特開2000−207363号公報 特表2004−529408号公報 Bill McCarty著 「SELINUX NSA’s Open Source Secure Enhanced Linux」O’REILLY社出版 2004年pp.95−pp.149 Dorothy Elizabeth Robeling Denning著 「Cryptography and Data Security 」Addison-Wesley社出版 1982年pp.191−pp.207
このように、RBACモデルとTEモデルを利用するシステムの強制アクセス制御の設定では、利用するプログラムにサンプルとして添付されるアクセス制御の設定ファイルを参考に、プログラムのテスト運用、および運用結果を出力したログの分析結果に基づいて、プログラム毎にアクセス制御の設定ファイルを設計している。そのため、システムのアクセス制御の設定ファイルがプログラム毎に別れて存在し、システム全体のアクセス制御の設定が適切であることを保証することが困難である。
例えば、あるファイルへあるユーザからのアクセスを禁止するため、ユーザが利用できるあるプログラムからのアクセスを禁止したとしても、ユーザは起動可能な別のプログラムを経由してアクセスできるかもしれない。
そのため、個々のアクセス制御の設定ファイルを正しく設定する他に、システム全体のアクセス制御の設定が適切であることを確認することが重要である。したがって、複数のアクセス制御の設定ファイルに基づくシステムのアクセス制御の設定を横断的に検証し、システム全体のアクセス制御の設定が適切であることを保証することが重要になる。
本発明は上記課題を鑑みてなされたものであり、ユーザからのアクセスを制御するための設定データの検証を可能とする情報処理装置、情報処理装置の制御方法及びソフトウェアを提供することを主たる目的とする。
上記課題を解決するために、本発明は、コンピュータを利用する際に各利用者がアクセス可能な前記コンピュータの制御対象を定めたアクセス制御設定データを、前記コンピュータで実行されるプログラム毎に記憶するアクセス制御設定データ記憶部と、前記各アクセス制御設定データが満たすべきアクセス制御の設定方針を記憶するセキュリティポリシーデータ記憶部と、前記各アクセス制御設定データが、前記アクセス制御の設定方針に適合するか否かの検証を行う適合検証部と、前記検証の結果を出力する検証結果出力部と、を備えることを特徴とする情報処理装置に関する。
その他、本願が開示する課題、及びその解決方法は、発明を実施するための最良の形態の欄、及び図面により明らかにされる。
本発明によれば、システムに設定されたアクセス制御の設定が適切であるかを検証することができる。
以下、図面を参照しながら本実施形態を説明する。
本実施形態において、アクセス制御の設定ファイル(特許請求の範囲に記載のアクセス制御設定データに相当する)とは、コンピュータを利用する際に各利用者がアクセス可能なコンピュータの制御対象を定めた設定データであり、たとえばTEモデルとRBACモデルに基づく、アクセス制御の設定ファイルを指す。またここでコンピュータの制御対象には、他のコンピュータと通信をするためのポート番号やネットワークインタフェース、IPアドレス、あるいはディレクトリやファイル等のファイルシステム、メモリやハードディスク装置等のハードウェア資源、その他コンピュータが情報処理に用いるあらゆるシステム資源が含まれる。
また、セキュリティポリシーファイル(特許請求の範囲に記載のアクセス制御の設定方針に相当する)とは、プログラム毎に設定される各アクセス制御の設定ファイルが満たすべき、アクセス制御の設定方針が記述されるデータであり、利用者からのアクセスの許可または禁止などに関してシステム全体としての方針を設定したファイルを指す。これらのファイルにおけるアクセスの設定では、RBACモデルおよびTEモデルに基づくセキュリティ属性を利用することができる。
===全体構成===
図1は、本実施形態におけるシステムの概略図である。本実施形態に関するシステムは、クライアント装置1と、サーバ装置(特許請求の範囲に記載の情報処理装置に相当する)2とがネットワーク3で通信可能に接続されて構成される。
クライアント装置1は、アクセス制御を設定するためのアクセス制御の設定ファイルと、アクセス制御の設定ファイルの設定内容に課す条件を設定したセキュリティポリシーファイルを保持する。
サーバ装置2は、クライアント装置1が提供するアクセス制御の設定ファイルに関するテーブルを作成し、提供されたアクセス制御の設定ファイルがセキュリティポリシーファイルを満たすかを検証する。なお、図1におけるクライアント装置1の機能が、サーバ装置2に含まれるようにし、クライアント装置1を設けない構成とすることもできる。
===クライアント装置===
図2はクライアント装置1の概略構成図である。クライアント装置1は、CPU(Central Processing Unit)11、記憶装置12がインタフェース13を経由して、通信装置14、入力装置15、出力装置16と接続して構成される。
CPU11はクライアント装置1の全体の制御を司るもので、記憶装置12に記憶される本実施の形態に係る各種の動作を行うためのコードから構成される登録依頼PG(プログラム)111、検証依頼PG112、結果受信PG113を実行することにより、クライアント装置1としての各種機能を実現する。
記憶装置12は、セキュリティポリシーファイル(以下、SPFと略す)101、アクセス制御の設定ファイル102、登録依頼PG111、検証依頼PG112、結果受信PG113を格納している。
アクセス制御の設定ファイル102は、単数または複数のファイルから構成され、RBACモデルとTEモデルに基づく強制アクセス制御を設定している。図5に、アクセス制御の設定ファイル102の例を示す。アクセス制御の設定ファイル102には、プログラムを起動するユーザ名(利用者の識別情報)とそのユーザに付与されるロールを示す情報とを対応付けた第1の設定データと、ロールを示す情報とそのロールが与えられたユーザがプログラムを起動することによって生成されるプロセスが所属するドメイン名(各プロセスをグループ化してなるプロセスグループの識別情報)とを対応付けた第2の設定データと、ドメイン名とそのドメインから遷移できるドメイン名(プロセスにより生成されるプロセスが所属するプロセスグループの識別情報)とを対応付けた第3の設定データと、ドメイン名と、そのドメインに所属するプロセスが制御可能なタイプ(コンピュータの制御対象が所属する、各制御対象をグループ化してなる制御対象グループ)の識別情報と、を対応付けた第4の設定データと、を含む。
次にSPF101の概略図を図4に示す。SPF101には、番号1010、要求1011、サブジェクト1012、オブジェクト1013、アクセスモード1014の要素から構成される。番号1010は、要求1011、サブジェクト1012、オブジェクト1013、アクセスモード1014の各要素の組を管理するための番号1010であり、番号1010は他の要素のインデックスの役割を果たすことができる。要求1011は、サブジェクト1012からオブジェクト1013へのアクセスモード1014に関する条件であり、許可、拒否、無視のいずれかを設定する。サブジェクト1012には、ユーザ、プロセスの設定や、またこれらのセキュリティ属性であるロール、ドメインを設定することができる。オブジェクト1013には、システムのリソースまたはセキュリティ属性であるロール、ドメイン、タイプを設定することができる。アクセスモード1014には、サブジェクト1012からオブジェクト1013へのread、write、append、search、send、receiveなどのアクセス方法と、RBACとTEモデルに基づくドメイン遷移と組み合わせて設定することができる。
上記の要求1011、サブジェクト1012、オブジェクト1013、アクセスモード1014の各要素の組み合わせにより、SPF111には、コンピュータのユーザ名と、そのユーザに付与可能なロールを示す情報とを対応付けた第1の設定方針データと、コンピュータのユーザ名と、そのユーザが起動したプログラムの実行に伴って生成されるプロセスが所属可能なドメイン名とを対応付けた第2の設定方針データと、コンピュータのユーザ名と、そのユーザが起動したプログラムの実行に伴って生成されるプロセスが制御可能なタイプとを対応付けた第3の設定方針データと、ロールを示す情報と、そのロールを有するユーザが起動したプログラムの実行に伴って生成されるプロセスが所属可能なドメイン名とを対応付けた第4の設定方針データと、ロールを示す情報と、そのロールを有するユーザが起動したプログラムの実行に伴って生成されるプロセスが制御可能なタイプとを対応付けた第5の設定方針データと、ドメイン名と、そのドメインから遷移可能なドメイン名(そのドメインのプロセスを起点として順次生成されるいずれかのプロセスが所属可能なドメイン名)とを対応付けた第6の設定方針データと、ドメイン名と、そのドメインに所属するプロセスが制御可能なタイプとを対応付けた第7の設定方針データと、コンピュータのユーザ名と、そのユーザに付与することが禁止されるロールを示す情報とを対応付けた第8の設定方針データと、コンピュータのユーザ名と、そのユーザが起動したプログラムの実行に伴って生成されるプロセスが所属することが禁止されるドメイン名とを対応付けた第9の設定方針データと、コンピュータのユーザ名と、そのユーザが起動したプログラムの実行に伴って生成されるプロセスによる制御が禁止されるタイプとを対応付けた第10の設定方針データと、ロールを示す情報と、そのロールを有するユーザが起動したプログラムの実行に伴って生成されるプロセスが所属することが禁止されるドメイン名とを対応付けた第11の設定方針データと、ロールを示す情報と、そのロールを有するユーザが起動したプログラムの実行に伴って生成されるプロセスによる制御が禁止されるタイプとを対応付けた第12の設定方針データと、ドメイン名、どのドメインから遷移することが禁止されるドメイン名(そのドメインに所属するプロセスを起点として順次生成されるいずれのプロセスも所属することが禁止されるドメイン名とを対応付けた第13の設定方針データと、ドメイン名と、そのドメインに所属するプロセスによる制御が禁止されるタイプとを対応付けた第14の設定方針データと、の少なくともいずれかが含まれる。
登録依頼PG111は、ネットワーク3を介し、サーバ装置2へアクセス制御の設定ファイル102の登録を依頼することができる。検証依頼PG112は、ネットワーク3を介し、サーバ装置2へアクセス制御の設定ファイル102の検証を依頼することができる。結果受信PG113は、ネットワーク3を介し、サーバ装置2から送信されるデータ、例えば上記検証結果やアクセス制御の設定ファイル102の登録結果、を受信することができる。
入力装置15はクライアント装置1のデータ入力等のために用いられる装置でありユーザインタフェースとして機能する。入力装置15としては例えばキーボードやマウス等を用いることができる。
出力装置16は情報を外部に出力するための装置でありユーザインタフェースとして機能する。出力装置16としては例えばディスプレイやプリンタ等を用いることができる。
通信装置14は通信を行うための装置である。例えばネットワーク3を介して行われる、サーバ装置2等の他のコンピュータとの通信は、通信装置14を介して行われるようにすることができる。また例えば、登録依頼PG111や検証依頼PG112、結果受信PG113、アクセス制御の設定ファイル102、SPF101を通信装置14を通じて他のコンピュータからネットワーク3を介して受信して、記憶装置12に記憶するようにすることもできる。
===サーバ装置===
図3はサーバ装置2の概略構成図である。サーバ装置2は、CPU21、記憶装置22がインタフェース23を経由して、通信装置24、入力装置25、出力装置26と接続している。
CPU21はサーバ装置2の全体の制御を司るもので、記憶装置22に記憶される本実施の形態に係る各種の動作を行うためのコードから構成される登録受付PG211、登録実行PG212、検証受付PG213、検証実行PG214、結果送信PG215を実行することにより、サーバ装置2としての各種機能を実現する。例えばCPU21により登録受付PG211、登録実行PG212、検証受付PG213、検証実行PG214、結果送信PG215が実行され、記憶装置2やインタフェース23、通信装置24、入力装置25、出力装置26等のハードウェア機器と協働することにより、特許請求の範囲に記載のアクセス制御設定データ記憶部、セキュリティポリシーデータ記憶部、適合検証部、検証結果出力部が実現される。なお、登録受付PG211、登録実行PG212、検証受付PG213、検証実行PG214、結果送信PG215は、特許請求の範囲に記載のソフトウェアに相当する。
記憶装置22は、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204、登録受付PG211、登録実行PG212、検証受付PG213、検証実行PG214、結果送信PG215を格納している。
ロール遷移テーブル201を図6に示す。ロール遷移テーブル201には、各アクセス制御の設定ファイル102に記憶される設定データのうち、コンピュータのユーザ名と、そのユーザに付与されるロールを示す情報と、を対応付けた第1の設定データが記憶される。
ロール定義テーブル202を図7に示す。ロール定義テーブル202には、各アクセス制御の設定ファイル102に記憶される設定データのうち、ロールを示す情報と、そのロールを有するユーザがプログラムを起動することによって生成されるプロセスが所属するドメイン名と、を対応付けた第2の設定データが記憶される。
ドメイン遷移テーブル203を図8に示す。ドメイン遷移テーブル203には、各アクセス制御の設定ファイル102に記憶される設定データのうち、ドメイン名と、そのドメインから遷移可能なドメイン名と、を対応付けた第3の設定データが記憶される
ドメイン定義テーブル204を図9に示す。ドメイン定義テーブル204には、各アクセス制御の設定ファイル102に記憶される設定データのうち、ドメイン名と、そのドメインに所属するプロセスが制御可能なタイプと、を対応付けた第4の設定データが記憶される。また、ドメインとタイプで許可されているアクセスモード2043もドメイン定義テーブル204に登録される。なおアクセスモード2043は、アクセスベクタとも呼ばれる。
登録受付PG211は、ネットワーク3を介し、クライアント装置1から、アクセス制御の設定ファイル102及びSPF101の登録を受け付けることができる。登録実行PG212は、ネットワーク3を介し、クライアント装置1から登録を受け付けたアクセス制御の設定ファイル102を、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204へ、登録することができる。検証受付PG213は、ネットワーク3を介し、クライアント装置1から、各アクセス制御の設定ファイル102が、SPF101に適合するか否かの検証依頼を受け付けることができる。検証実行PG214は、ネットワーク3を介しクライアント装置1から受け付けた検証依頼に従って、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204に基づいて、各アクセス制御の設定ファイル102がSPF101に適合するか否かの検証を行う。結果送信PG215は、ネットワーク3を介し、クライアント装置1へ、アクセス制御の設定ファイル102の登録結果や検証結果を送信することができる。
入力装置25はサーバ装置2のデータ入力等のために用いられる装置でありユーザインタフェースとして機能する。入力装置25としては例えばキーボードやマウス等を用いることができる。
出力装置26は情報を外部に出力するための装置でありユーザインタフェースとして機能する。出力装置26としては例えばディスプレイやプリンタ等を用いることができる。
通信装置24は通信を行うための装置である。例えばネットワーク3を介して行われる、クライアント装置1等の他のコンピュータとの通信は、通信装置24を介して行われるようにすることができる。また例えば、登録受付PG211や登録実行PG212、検証受付PG213、検証実行PG214、結果送信PG215を、通信装置24を通じて他のコンピュータからネットワーク3を介して受信して、記憶装置22に記憶するようにすることもできる。
===処理の流れ===
<アクセス制御の設定ファイルの登録処理>
図11に、サーバ装置2がクライアント装置1から登録を依頼されたアクセス制御の設定ファイル102をテーブルとして登録する処理の流れを示す。クライアント装置1は、登録依頼PG111を実行し、登録するアクセス制御の設定ファイル102と登録依頼メッセージを、サーバ装置2に送信する(s111)。そうするとサーバ装置2は、登録受付PG211を実行し、登録するアクセス制御の設定ファイル102と登録依頼メッセージを受信する(s112)。
次にサーバ装置2は、登録実行PG212を実行し、受信したアクセス制御の設定ファイル102に基づき、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204などの各種テーブルを登録し、登録終了メッセージを作成する(S113)。そしてサーバ装置2は、結果送信PG215を実行し、登録終了メッセージをクライアント装置1に送信する(s114)。
クライアント装置1は、結果受信PG113を実行し、サーバ装置2から登録終了メッセージを受信する(s115)。
図13に、s113において、サーバ装置2がアクセス制御の設定ファイル102を、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204などの各種テーブルに登録する処理の流れを詳細に示す。
まずサーバ装置2は、登録実行PG212を実行し、登録依頼を受け付けたアクセス制御の設定ファイル102にユーザからロールの設定が含まれているかを確認し、設定が含まれていればs1111へ、そうでなければs1120へ進む(s1110)。
アクセス制御の設定ファイル102にユーザからロールの設定が含まれている場合には、サーバ装置2は、アクセス制御の設定ファイル102からユーザの設定を取得する(s1111)。そしてサーバ装置2は、取得したユーザから利用できるロールをアクセス制御の設定ファイル102より取得し(s1112)、ロール遷移テーブル201として作成し(s1113)、登録する(s1114)。ロール遷移テーブル201には、図6に示したように、行に取得したユーザを、列に取得したユーザから利用できるロールを設定する。
次にサーバ装置2は、登録依頼を受け付けたアクセス制御の設定ファイル102にロールからドメインへの遷移が設定されていればs1121へ、そうでなければs1130へ進む(s1120)。
アクセス制御の設定ファイル102にロールからドメインへの遷移が設定されている場合には、サーバ装置2は、登録依頼を受け付けたアクセス制御の設定ファイル102から設定されたロールを取得する(s1121)。そしてサーバ装置2は、取得したロールから遷移できるドメインをアクセス制御の設定ファイル102から取得し(s1122)、ロール定義テーブル202として作成し(s1123)、登録する(s1124)。ロール定義テーブル202には、図7に示したように、行には取得したロールを、列には取得したロールから遷移できるドメインを設定する。
次にサーバ装置2は、登録依頼を受け付けたアクセス制御の設定ファイル102にドメイン遷移の設定が含まれていればs1131へ、そうでなければs1140へ進む(s1130)。
アクセス制御の設定ファイル102にドメイン遷移の設定が含まれている場合には、サーバ装置2は、ロール定義テーブル202とアクセス制御の設定ファイル102から、設定されたドメインを取得する(s1131)。そしてサーバ装置2は、アクセス制御の設定ファイル102から、取得したドメインよりドメイン遷移が許可されているドメインを取得し(s1132)、図8に示したように、ドメイン遷移テーブル203として、ドメイン遷移の元のドメインをテーブルの行に、ドメイン遷移の先のドメインをテーブルの列に設定する(s1133)。
またサーバ装置2は、s1132で取得したドメインから新たにドメイン遷移が可能であるかを調べる。s1132で新たにドメインを取得した場合はs1132へ戻り、s1132で新たにドメインを取得しなかった場合はs1135へ進み(s1134)、ドメイン遷移テーブル203を登録する(s1135)。
次にサーバ装置2は、登録依頼を受け付けたアクセス制御の設定ファイル102にドメインからタイプへのアクセスモード1014の設定が含まれていればs1141へ、そうでなければs1150へ進む(s1140)。
アクセス制御の設定ファイル102にドメインからタイプへのアクセスモード1014の設定が含まれている場合には、サーバ装置2は、ドメイン遷移テーブル203またはアクセス制御の設定ファイル102からアクセス元のドメインを取得し(s1141)、次いでアクセス先のドメインまたはタイプを取得し(s1142)、これらのドメインからドメインまたはタイプへの設定が許可されたアクセスモード1014を取得する(s1143)。そしてサーバ装置2は、図9に示したように、ドメイン定義テーブル204に、s1141で取得したドメインを行に、s1142で取得したドメインまたはタイプを列に、s1141で取得したドメインからs1142に取得したドメインまたはタイプに許可されるアクセスモード1014を対応するテーブルのセルに設定し(s1144)、登録する(s1145)。
なお、これらの各種テーブルの登録処理(s1110〜s1145)は、テーブルの登録順序を入れ替えてもよく、また並行して進めても良い。
次に、サーバ装置2は、結果送信PG215を実行し、クライアント装置1へテーブルの登録が終了したことを知らせるため、登録終了メッセージを作成する(s1150)。
<検証処理>
図12に、クライアント装置1から、サーバ装置2がSPF101を受信し、管理するテーブルを基にアクセス制御の設定ファイル102を検証を実施する処理の流れを示す。クライアント装置1は、登録依頼PG111を実行し、SPF101と検証依頼メッセージを、サーバ装置2に送信する(s121)。そうするとサーバ装置2は、検証受付PG213を実行し、SPF101と検証依頼メッセージを受信する(s122)。そしてサーバ装置2は、検証実行PG214を実行し、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204にそれぞれ記載されているアクセス制御の各設定データがSPF101に適合するか否かの検証を行い、検証結果を検証終了メッセージとして作成する(s123)。サーバ装置2は、結果送信PG215を実行し、検証終了メッセージをクライアント装置1に送信する(s124)。クライアント装置1は、結果受信PG113を実行し、サーバ装置2から、検証終了メッセージを受信する(s125)。
図14に、s123において、サーバ装置2が、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204に記載されたアクセス制御の各設定データがSPF101に適合するか否かを検証する処理の流れを詳細に示す。
まずサーバ装置2は、検証実行PG214を実行し、SPF101の対応する番号1010を取得し(s1200)、それぞれの番号1010から引き出せる要求1011、サブジェクト1012、オブジェクト1013、アクセスモード1014の組を取得し(s1201)、以下のs1203から始まる手続きを全ての番号1010で実施する(s1202)。
次にサーバ装置2は、SPF101の要求1011を確認し、許可または拒否の設定が含まれている場合はs1204へ進み、無視と設定されている場合はその要素の組はs1204以降の処理の対象としない。また、全ての要求1011が無視と設定されている場合はs1250へと進む。
SPF101の要求欄1011に、許可または拒否の設定が含まれている場合は、サーバ装置2は、SPF101のサブジェクト1012を確認し、ユーザが含まれていればs1211へ進み、そうでなければs1220へ進む(s1204)。
SPF101のサブジェクト欄1012にユーザが含まれている場合には、サーバ装置2は、SPF101のサブジェクト1012においてユーザを取得し(s1211)、ロール遷移テーブル201からユーザが利用できるロールを取得する(s1212)。
そしてサーバ装置2は、SPF101のオブジェクト1013にロールが含まれているかを確認し、ロールが含まれていればs1214へそうでなければs1222へ進む(s1213)。
SPF101のオブジェクト欄1013に、ロールが含まれている場合には、サーバ装置2は、第1の検証を行い、s1212で取得したロールとSPF101を比較してユーザとロールとの関係をチェックする。具体的には、SPF101の要求欄1011に「許可」が設定されており、s1212で取得したロールがSPF101のオブジェクト1013に含まれている場合には検証結果は問題なしと判定し、そうでなければ検証結果は問題ありと判定し、s1250へと進む(s1213)。また、SPF101の要求欄1011に「禁止」が設定されており、s1212で取得したロールがSPF101のオブジェクト1013に含まれている場合には検証結果は問題ありと判定し、そうでなければ検証結果は問題なしと判定し、s1250へと進む(s1213)。
S1204において、SPF101のサブジェクト欄1012にユーザが含まれていない場合には、サーバ装置2は、SPF101のサブジェクト1012を確認し、ロールが含まれていればs1221へ進み、そうでなければs1231へ進む(s1220)。
SPF101のサブジェクト欄1012にロールが含まれている場合には、サーバ装置2は、SPF101のサブジェクト1012においてロールを取得する(s1221)。そしてサーバ装置2は、ロール定義テーブル202から、s1221で取得したロールが遷移できるドメインを取得する(s1222)。またサーバ装置2は、s1213においてSPF101のオブジェクト欄1013に、ロールが含まれていなかった場合には、s1212で取得したロールが遷移できるドメインを取得する(s1222)。
またサーバ装置2は、s1220においてSPF101のサブジェクト欄1012にロールが含まれていなかった場合には、s1231において、SPF101のサブジェクト欄1012にプロセスが設定されている場合は対応するドメインをアクセス制御の設定ファイル102から取得する(s1231)。またSPF101のサブジェクト1012にドメインが設定されている場合はこのドメインを取得する(s1231)。
続いてサーバ装置2は、ドメイン遷移テーブル203より、s1222またはs1231で取得したドメインから遷移できるドメインを取得する(s1232)。また新たにドメインを取得した場合は、それらのドメインから遷移できるドメインがあるかをドメイン遷移テーブル203で確認し(s1233)、遷移できるドメインがある場合は、新たにドメインを取得できなくなるまでこれを繰り返す(s1234)。
そしてサーバ装置2は、SPF101のオブジェクト1013に、ドメインが含まれているかを確認し、ドメインが含まれていればs1236へそうでなければs1240へ進む(s1235)。
SPF101のオブジェクト欄1013に、ドメインが含まれている場合には、サーバ装置2は、第2の検証を行い、s1222またはs1231、s1232、s1234で取得したドメインを、SPF101を用いてチェックし、ユーザとドメインとの関係、ロールとドメインとの関係、あるいはドメインとドメインとの関係を検証する。具体的には、SPF101の要求欄1011に「許可」が設定されており、s1222またはs1231、s1232、s1234で取得したドメインがSPF101のオブジェクト1013に含まれている場合には検証結果は問題なしと判定し、そうでなければ検証結果は問題ありと判定し、s1250へと進む(s1236)。また、SPF101の要求欄1011に「禁止」が設定されており、s1222またはs1231、s1232、s1234で取得したドメインがSPF101のオブジェクト1013に含まれている場合には検証結果は問題ありと判定し、そうでなければ検証結果は問題なしと判定し、s1250へと進む(s1236)。
S1235において、SPF101のオブジェクト欄1013に、ドメインが含まれていない場合には、サーバ装置2は、s1222またはs1231、s1232、s1234で取得したドメインから、ドメイン定義テーブル204より、設定されているアクセスモード1014を取得する(s1240)。次いで、s1241において、サーバ装置2は、SPF101のオブジェクト1013にリソース(ただし、プロセスを除く)が設定されている場合はこのタイプをアクセス制御の設定ファイル102から取得し、SPF101のオブジェクト1013にタイプが設定されている場合はこのタイプを取得する(s1241)。
次いでサーバ装置2は第3の検証を行う(s1242)。サーバ装置2は、s1240で取得したアクセスモード1014とs1241で取得したタイプを、SPF101を用いてチェックし、ユーザとタイプ、ロールとタイプ、あるいはドメインとタイプの関係を検証する。
具体的には、SPF101の要求欄1011に「許可」が設定されており、s1241で取得したタイプがSPF101のオブジェクト1013に含まれ、かつs1240で取得したアクセスモード1014がSPF101のアクセスモード1014に含まれている場合には検証結果は問題なしと判定し、そうでなければ検証結果は問題ありと判定し、s1250へと進む(s1242)。また、SPF101の要求1011に「禁止」が設定されており、s1241で取得したタイプがSPF101のオブジェクト1013に含まれ、かつs1240で取得したアクセスモード1014がSPF101のアクセスモード1014に含まれている場合には検証結果は問題ありと判定し、そうでなければ検証結果は問題なしと判定し、s1250へと進む(s1242)。
第1の検証、第2の検証、又は第3の検証が終了すると、サーバ装置2は、検証終了メッセージを作成する(s1250)。そしてs1200で取得した番号1010全てにs1203からなる手続きが終了したかを確認して処理を終了する(s1251)。
<検証結果の出力>
図10に検証終了メッセージの構成を示す。検証終了メッセージは、検証結果を示す検証結果表示部と、SPF101とアクセス制御の設定ファイル102の分析結果を示す分析結果表示部からなる。
検証結果表示部には、SPF101の番号1010毎に検証結果を表示する。
分析結果表示部は、システムのリソースに関するリソース管理部とRBACモデルとTEモデルに基づくセキュリティ属性に関するセキュリティ属性管理部からなる。リソース管理部には、SPF101に含まれる各設定方針データによる各対応付けが図示され、セキュリティ属性管理部には、上記対応付けが、アクセス制御の設定ファイル102に記載されている第1乃至第4の各設定データを組み合わせて図示される。
つまり、リソース管理部は、SPF101のサブジェクト1012またはオブジェクト1013に設定されたユーザまたはリソースをリソース管理部に設定する。これらのリソース管理部に設定されたユーザまたはリソースは、セキュリティ属性管理部によって設定されたセキュリティ属性との関係(これを、セキュリティ属性の階層関係と呼ぶ)を表示する。
またセキュリティ属性管理部は、ロール、ドメイン、タイプから構成され、これらのセキュリティ属性の階層関係が示される。例えば、ロールから遷移が可能なドメインが表示され、ドメインからドメイン遷移が可能な他のドメインが表示され、そのドメインからアクセスが可能なタイプがアクセスモード1014共に表示される。
これらのセキュリティ属性と、リソース管理部によって設定されたユーザまたはリソースとの関係を表示する。例えば、ユーザが利用可能なロール、プロセスのドメイン、ファイルのタイプ等を表示する。なお分析結果表示部は、検証結果表示部を例えばマウスを用いてクリックすることにより、表示させるようにすることもできる。
さらに、SPF101の検証にて要求1011が問題有りと判断された要求には、その原因となるアクセス制御の設定箇所を、分析結果表示部において図示するようにすることもできる。上述のように、要求1011が問題有りと判断されるのは、要求欄1011が許可と記載されているSPF101の対応付けを、アクセス制御の設定ファイル102に含まれる第1乃至第4の対応付けを組み合わせて実現することができない場合や、要求欄1011が拒否と記載されているSPF101の対応付けを、アクセス制御の設定ファイル102に含まれる第1乃至第4の対応付けを組み合わせて実現することができてしまう場合である。そして前者の場合においては、SPF101の各対応付けを、アクセス制御の設定ファイル102に含まれる第1乃至第4の対応付けを組み合わせて実現することができない箇所、後者の場合においては、SPF101の各対応付けを、アクセス制御の設定ファイル102に含まれる第1乃至第4の対応付けを組み合わせて実現することができてしまう箇所、を分析結果表示部において図示するようにすることができるのである。
このような原因箇所の表示は、例えば、検証結果欄から分析結果表示部にリンクを張り、アクセス制御の設定ファイル102から取得したセキュリティ属性の階層関係を利用して図示することができる。アクセス制御の設定ファイル102から取得したセキュリティ属性の階層関係がSPF101の要求1011では禁止と設定されている場合には、分析結果表示部にセキュリティ属性の階層関係で問題となる箇所の候補を表示する。またこの時、セキュリティ属性の階層関係により、禁止すべき候補が1つ以上ある場合には、何らかの基準を設けて出力する分析結果を絞っても良い。例えば、セキュリティ属性の階層関係の変更が少ない順に示してもよく、また、オブジェクト1013とのアクセスの設定が最短になるように候補を表しても良い。また、禁止すべき候補が多すぎる場合には、表示する候補に制限数を設けてもよい。
このように問題箇所を図示することによって、セキュリティの抜けを一目瞭然に把握することができるようになる。また修正候補を表示することによって、問題点に対する対処が確実に行えるようになる。さらにシステム管理者の作業負担を軽減することも可能となる。
図10では、ロール、ドメイン、タイプのセキュリティ属性の階層関係を矢印によって示している。特に、点線で記述された矢印は、SPF101に設定されている要求1011を満たすために、アクセスの禁止候補であることを示している。
アクセス制御の設定ファイル102から取得したセキュリティ属性の階層関係がSPF101の要求1011では許可と設定されている場合、分析結果表示部にセキュリティ属性の階層関係で関係する箇所の候補を表示しても良い。例えば、図10のように矢印を用いてセキュリティ属性の階層関係を示し、SPF101に設定されたオブジェクト1013とセキュリティ属性の階層関係が無いことを示してもよい。また、表示するセキュリティ属性の階層関係を少なくするように候補を決めてもよい。
分析結果表示部は、セキュリティ属性の階層関係の表示を、文章、表、図などを用いて示しても良い。また、検証結果の成否により、表示を変えても良い。例えば、検証が成功した場合には分析結果を表示せず、検証が失敗した場合にのみ分析結果を表示するようにしても良い。さらに、SPF101の要求1011が1つでも失敗した場合、失敗したSPF101の要求1011の分析結果を表示するようにしても良い。
上記の実施の形態においては、クライアント装置1がサーバ装置2にアクセス制御の設定ファイル102を送信し、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204を登録してから、SPF101をクライアント装置1からサーバ装置2に送信する場合について説明したが、クライアント装置1がサーバ装置2にSPF101をアクセス制御の設定ファイル102と同時、あるいはそれより前に登録するようにしても良い。以下詳細に説明する。このようにすることにより、サーバ装置2は、アクセス制御の設定ファイル102の登録の際にSPF101を用いることにより、登録するテーブルのサイズをSPF101に関係する部分に限定することができるようになる。
本実施形態におけるシステムの各装置の構成は、上記実施形態と同様であるが、アクセス制御の設定ファイル102の登録とSPF101の検証では、その処理が異なる。
<登録処理>
図15に、サーバ装置2がアクセス制御の設定ファイル102とSPF101を用い、テーブルへ登録する流れを示す。クライアント装置1は、登録依頼PG111を実行し、SPF101、登録するアクセス制御の設定ファイル102と登録依頼メッセージを、サーバ装置2に送信する(s211)。そうするとサーバ装置2は、登録受付PG211を実行し、SPF101、登録するアクセス制御の設定ファイル102と登録依頼メッセージを受信する(s212)。
サーバ装置2は、登録実行PG212を実行し、受信したSPF101とアクセス制御の設定ファイル102に基づき、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204などの各種テーブルを登録し、登録終了メッセージを作成する(s213)。 つまり、サーバ装置2は、各アクセス制御の設定ファイル102に含まれる各第1の設定データから、SPF101に含まれる第1乃至第3の設定方針データ及び第8乃至第10の設定方針データに記述されているユーザに関する設定データのみを抽出してロール遷移テーブル201に登録し、各アクセス制御の設定ファイル102に含まれる各第2の設定データから、SPF101に含まれる第4乃至第5の設定方針データ及び第11乃至第12の設定方針データに記述されているロールを示す情報に関する設定データのみを抽出してロール定義テーブル202に登録し、各アクセス制御の設定ファイル102に含まれる各第3の設定データから、SPF101に含まれる第6の設定方針データ及び第13の設定方針データに記述されているドメイン名に関する設定データのみを抽出してドメイン遷移テーブル203に登録し、各アクセス制御の設定ファイル102に含まれる各第4の設定データから、SPF101に含まれる第7の設定方針データ及び第14の設定方針データに記述されているドメイン名に関する設定データのみを抽出してドメイン定義テーブル204に登録する。
そしてサーバ装置2は結果送信PG215を実行し、登録終了メッセージをクライアント装置1に送信する(s214)。クライアント装置1は、結果受信PG113を実行し、サーバ装置2から登録終了メッセージを受信する(s215)。
図17に、s213において、サーバ装置2がSPF101を用い、アクセス制御の設定ファイル102をロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204などの各種テーブルに登録する流れを詳細に示す。
まずサーバ装置2は、登録実行PG214を実行し、SPF101の対応する番号1010を取得し(s2100)、それぞれの番号1010から引き出せる要求1011、サブジェクト1012、オブジェクト1013、アクセスモード1014の組を取得し(s2101)、以下のs2103から始まる手続きを実施する(s2102)。
サーバ装置2は、SPF101の要求1011を確認し、許可または拒否の設定が含まれていればs2110へ進み、無視と設定されている要素の組はs2110以降の処理の対象としない。また、SPF101の要求1011に無視と設定されている場合は、その要素は以下s2110の処理の対象としない(s2103)。
サーバ装置2は、SPF101のサブジェクト1012に、ユーザが含まれているかを確認し、設定が含まれていればs2111へ、そうでなければs2120へ進む(s2110)。
SPF101のサブジェクト1012にユーザが含まれている場合には、サーバ装置2は、アクセス制御の設定ファイル102からユーザの設定を取得する(s2111)。次に、サーバ装置2は、取得したユーザから利用できるロールをアクセス制御の設定ファイル102より取得し(s2112)、ロール遷移テーブル201として作成し(s2113)、登録する(s2114)。ロール遷移テーブル201には、行に取得したユーザを、列に取得したユーザから利用できるロールを設定する。
次にサーバ装置2は、SPF101のサブジェクト1012にロールが含まれているかを確認し、設定が含まれている、あるいはロール遷移テーブル201を設定した場合にはs2121へ、それ以外ではs2130へ進む(s2120)。
SPF101のサブジェクト1012にロールが含まれているか、あるいはロール遷移テーブル201を設定した場合には、サーバ装置2は、アクセス制御の設定ファイル102からロールの設定を取得する(s2121)。次に、サーバ装置2は、取得したロールから遷移できるドメインをアクセス制御の設定ファイル102より取得し(s2122)、ロール定義テーブル202として作成し(s2113)、登録する(s2114)。ロール定義テーブル202には、行に取得したロールを、列に取得したロールから遷移できるドメインを設定する。
次にサーバ装置2は、SPF101のサブジェクト1012を確認し、プロセスまたはドメインが含まれている、あるいはロール定義テーブル202が設定されている場合はs2131へ進み、そうでなければs2140へ進む(s2130)。
SPF101のサブジェクト1012にプロセスまたはドメインが含まれているか、あるいはロール定義テーブル202が設定されている場合には、サーバ装置2は、s2131の処理を実行する。すなわち、SPF101のサブジェクト1012にプロセスが設定されている場合は対応するドメインをアクセス制御の設定ファイル102から取得し、SPF101のサブジェクト1012にドメインが設定されている場合はこのドメインを取得する(s2131)。
次にサーバ装置2は、アクセス制御の設定ファイル102から、取得したドメインよりドメイン遷移が許可されているドメインを取得し(s2132)、ドメイン遷移テーブル203として、ドメイン遷移の元のドメインをテーブルの行に、ドメイン遷移の先のドメインをテーブルの列に設定する(s2133)。
次にサーバ装置2は、s2132で取得したドメインから新たにドメイン遷移が可能であるかを調べる。s2132で新たにドメインを取得した場合はs2132へ戻り、s2132で新たにドメインを取得しなかった場合はs2135へ進み(s2134)、ドメイン遷移テーブル203を登録する(s2135)。
次にサーバ装置2は、SPF101のアクセスモード1014が設定されているか確認し、設定されている、あるいはドメイン遷移テーブル203が設定されている場合はs2141へ進み、そうでなければs2150へ進む(s2140)。
SPF101のアクセスモード1014が設定されているか、あるいはドメイン遷移テーブル203が設定されている場合は、サーバ装置2は、s2141の処理を実行する。すなわち、サーバ装置2は、SPF101のサブジェクト1012とドメイン遷移テーブル203を確認し、SPF101のサブジェクト1012にリソース(ただし、プロセスを除く)が設定されている場合はこのドメインまたはタイプをアクセス制御の設定ファイル102から取得し、SPF101のサブジェクト1012にドメインまたはタイプが設定されている場合はこのドメインまたはタイプを取得し、ドメイン遷移テーブル203が設定されている場合はこのドメインを取得する(s2141)。次いでサーバ装置2は、これらのドメインからアクセスする先のドメインまたはタイプを取得する(s2142)。そしてサーバ装置2は、これらのドメインからドメインまたはタイプへの設定が許可されたアクセスモード1014を取得する(s2143)。そしてサーバ装置2は、ドメイン定義テーブル204として、s2141で取得したドメインをテーブルの行に、s2142で取得したドメインまたはタイプを列に、s2141で取得したドメインからs2142に取得したドメインまたはタイプに許可されるアクセスモード1014を対応するテーブルのセルに設定し(s2144)、登録する(s2145)。
次にサーバ装置2は、結果送信PG215を実行し、クライアント装置1へテーブルの登録が終了したことを知らせるため、登録終了メッセージを作成する(s2150)。そしてサーバ装置2は、s2100で取得した番号1010全てにs2110からなる手続きが終了したかを確認して処理を終了する(s2151)。
<検証処理>
図16に、サーバ装置2が、管理するテーブルに基づき、アクセス制御の設定ファイル102を検証する処理の流れを示す。クライアント装置1は検証依頼PG112を実行し、検証依頼メッセージをサーバ装置2に送信する(s221)。そうするとサーバ装置2は検証受付PG213を実行し、検証依頼メッセージを受信する(s222)。またサーバ装置2は検証実行PG214を実行し、ロール遷移テーブル201、ロール定義テーブル202、ドメイン遷移テーブル203、ドメイン定義テーブル204にそれぞれ記載されているアクセス制御の各設定データがSPF101に適合するか否かの検証を行い、検証結果を検証終了メッセージとして作成する(s223)。そしてサーバ装置2は、結果送信PG215を実行し、検証終了メッセージをクライアント装置1に送信する(s224)。クライアント装置1は結果受信PG113を受信し、サーバ装置2から、検証終了メッセージを受信する(s225)。
s223における、アクセス制御の各設定データがSPF101に適合するか否かの検証する処理の流れは、図14と同様である。また、検証終了メッセージに関しても図10と同様の構成になる。
以上本実施の形態について説明したが、本実施の形態によれば、システムに設定されたアクセス制御の設定が適切であるかを検証することができる。また、RBACモデルおよびTEモデルに基づく強制アクセス制御においては、複雑かつ複数の設定ファイルを設定する必要があるが、本実施の形態によれば、システム全体として適切にアクセス制御が設定されているかの確認を容易に行うことができる。そして、RBACモデルおよびTEモデルに基づく複雑なアクセス制御の設定が、確かにセキュリティポリシーを満たすことを検証、保証することができる。また、これによりアクセス制御を適切に設定することができる。さらに、把握が困難である複数のアクセス制御の設定ファイルに対し、その設定の誤りの検出と、設定内容の保証ができる。
また、クライアント装置1が、検証をサーバ装置2に依頼する前に、アクセス制御の設定ファイル102とセキュリティポリシーファイル101の登録をサーバ装置に依頼するようにすることにより、サーバ装置2は、テーブルとして登録するアクセス制御の設定ファイル102をセキュリティポリシーに関する部分のみに限定できるため、各テーブルのサイズを小規模に抑えることができ、セキュリティポリシーの検証を効率的に処理することができる。
上述した本実施の形態は、RBACモデルとTEモデルに基づく強制的アクセス制御を採用するシステムに適用することができる。例えば、ハードウェアやソフトウェアに強制アクセス制御モジュールを組み込み、ソフトウェアの動作を監視するシステムに適用することができる。
以上発明を実施するための最良の形態について説明したが、上記実施の形態は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に、本発明にはその等価物も含まれる。
本実施形態におけるシステム構成の概略図である。 本実施形態におけるクライアント装置の概略図である。 本実施形態におけるサーバ装置の概略図である。 本実施形態におけるセキュリティポリシーファイル(SPF)の概略図である。 本実施形態におけるアクセス制御の設定ファイルの概略図である。 本実施形態におけるロール遷移テーブルの概略図である。 本実施形態におけるロール定義テーブルの概略図である。 本実施形態におけるドメイン遷移テーブルの概略図である。 本実施形態におけるドメイン定義テーブルの概略図である。 本実施形態における検証終了メッセージの概略図である。 本実施形態におけるアクセス制御の設定ファイルの登録フローである。 本実施形態におけるSPFの検証フローである。 本実施形態におけるアクセス制御の設定ファイルの登録フローである。 本実施形態におけるSPFの検証フローである。 本実施形態におけるアクセス制御の設定ファイルの登録フローである。 本実施形態におけるSPFの検証フローである。 本実施形態におけるアクセス制御の設定ファイルの登録フローである。
符号の説明
1 クライアント装置
2 サーバ装置
3 ネットワーク
101 セキュリティポリシーファイル(SPF)
102 アクセス制御の設定ファイル
111 登録依頼PG
112 検証依頼PG
113 結果受信PG
201 ロール遷移テーブル
202 ロール定義テーブル
203 ドメイン遷移テーブル
204 ドメイン定義テーブル
211 登録受付PG
212 登録実行PG
213 検証受付PG
214 検証実行PG
215 結果送信PG

Claims (8)

  1. コンピュータを利用する際に各利用者がアクセス可能な前記コンピュータの制御対象を定めたアクセス制御設定データを、前記コンピュータで実行されるプログラム毎に記憶するアクセス制御設定データ記憶部と、
    前記各アクセス制御設定データが満たすべきアクセス制御の設定方針を記憶するセキュリティポリシーデータ記憶部と、
    前記各アクセス制御設定データが、前記アクセス制御の設定方針に適合するか否かの検証を行う適合検証部と、
    前記検証の結果を出力する検証結果出力部と、
    を備えることを特徴とする情報処理装置。
  2. 前記プログラム毎に記憶される各アクセス制御設定データは、
    当該プログラムを起動する利用者の識別情報と、前記利用者に付与される権限を示す情報と、を対応付けた第1の設定データと、
    権限を示す情報と、前記権限を有する利用者が当該プログラムを起動することによって生成されるプロセスが所属する、各プロセスをグループ化してなるプロセスグループの識別情報と、を対応付けた第2の設定データと、
    プロセスグループの識別情報と、前記プロセスグループに所属するプロセスにより生成されるプロセスが所属するプロセスグループの識別情報と、を対応付けた第3の設定データと、
    プロセスグループの識別情報と、前記プロセスグループに所属するプロセスが制御可能な前記コンピュータの制御対象が所属する、各制御対象をグループ化してなる制御対象グループの識別情報と、を対応付けた第4の設定データと、
    を含み、
    前記アクセス制御の設定方針は、
    前記コンピュータの利用者の識別情報と、前記利用者に付与可能な権限を示す情報とを対応付けた第1の設定方針データと、
    前記コンピュータの利用者の識別情報と、前記利用者が起動したプログラムの実行に伴って生成されるプロセスが所属可能なプロセスグループの識別情報とを対応付けた第2の設定方針データと、
    前記コンピュータの利用者の識別情報と、前記利用者が起動したプログラムの実行に伴って生成されるプロセスが制御可能な前記コンピュータの制御対象が所属する制御対象グループの識別情報とを対応付けた第3の設定方針データと、
    権限を示す情報と、前記権限を有する利用者が起動したプログラムの実行に伴って生成されるプロセスが所属可能なプロセスグループの識別情報とを対応付けた第4の設定方針データと、
    権限を示す情報と、前記権限を有する利用者が起動したプログラムの実行に伴って生成されるプロセスが制御可能な前記コンピュータの制御対象が所属する制御対象グループの識別情報とを対応付けた第5の設定方針データと、
    プロセスグループの識別情報と、前記プロセスグループに所属するプロセスを起点として順次生成されるいずれかのプロセスが所属可能なプロセスグループの識別情報とを対応付けた第6の設定方針データと、
    プロセスグループの識別情報と、前記プロセスグループに所属するプロセスが制御可能な前記コンピュータの制御対象が所属する制御対象グループの識別情報とを対応付けた第7の設定方針データと、
    前記コンピュータの利用者の識別情報と、前記利用者に付与することが禁止される権限を示す情報とを対応付けた第8の設定方針データと、
    前記コンピュータの利用者の識別情報と、前記利用者が起動したプログラムの実行に伴って生成されるプロセスが所属することが禁止されるプロセスグループの識別情報とを対応付けた第9の設定方針データと、
    前記コンピュータの利用者の識別情報と、前記利用者が起動したプログラムの実行に伴って生成されるプロセスによる制御が禁止される前記コンピュータの制御対象が所属する制御対象グループの識別情報とを対応付けた第10の設定方針データと、
    権限を示す情報と、前記権限を有する利用者が起動したプログラムの実行に伴って生成されるプロセスが所属することが禁止されるプロセスグループの識別情報とを対応付けた第11の設定方針データと、
    権限を示す情報と、前記権限を有する利用者が起動したプログラムの実行に伴って生成されるプロセスによる制御が禁止される前記コンピュータの制御対象が所属する制御対象グループの識別情報とを対応付けた第12の設定方針データと、
    プロセスグループの識別情報と、前記プロセスグループに所属するプロセスを起点として順次生成されるいずれのプロセスも所属することが禁止されるプロセスグループの識別情報とを対応付けた第13の設定方針データと、
    プロセスグループの識別情報と、前記プロセスグループに所属するプロセスによる制御が禁止される前記コンピュータの制御対象が所属する制御対象グループの識別情報とを対応付けた第14の設定方針データと、
    の少なくともいずれかを含み、
    前記適合検証部は、
    前記アクセス制御の設定方針に記述される各設定方針データによる各対応付けが、前記第1乃至第4の各設定データを組み合わせて実現できるか否かにより、前記各アクセス制御設定データが、前記アクセス制御の設定方針に適合するか否かの検証を行う
    ことを特徴とする請求項1に記載の情報処理装置。
  3. 前記検証結果出力部は、
    前記検証の結果を出力する際に、前記アクセス制御の設定方針に含まれる各設定方針データによる各対応付けを、前記第1乃至第4の設定データを組み合わせて図示する
    ことを特徴とする請求項2に記載の情報処理装置。
  4. 前記検証結果出力部は、
    前記検証の結果を出力する際に、前記アクセス制御の設定方針に含まれる各設定方針データによる各対応付けを、前記第1乃至第4の対応付けを組み合わせて実現することができない場合には、組み合わせることができない箇所を図示する
    ことを特徴とする請求項3に記載の情報処理装置。
  5. 前記適合検証部は、
    前記各アクセス制御設定データに含まれる各第1の設定データから、前記第1乃至第3の設定方針データ及び前記第8乃至第10の設定方針データに記述されている利用者の識別情報に関する設定データを抽出し、
    前記各アクセス制御設定データに含まれる各第2の設定データから、前記第4乃至第5の設定方針データ及び前記第11乃至第12の設定方針データに記述されている権限を示す情報に関する設定データを抽出し、
    前記各アクセス制御設定データに含まれる各第3の設定データから、前記第6の設定方針データ及び前記第13の設定方針データに記述されているプロセスグループの識別情報に関する設定データを抽出し、
    前記各アクセス制御設定データに含まれる各第4の設定データから、前記第7の設定方針データ及び前記第14の設定方針データに記述されているプロセスグループの識別情報に関する設定データを抽出し、
    前記アクセス制御の設定方針に含まれる各設定方針データによる各対応付けが、前記抽出した各設定データを組み合わせて実現できるか否かにより、前記各アクセス制御の設定データが、前記アクセス制御の設定方針に適合するか否かの検証を行う
    ことを特徴とする請求項2に記載の情報処理装置。
  6. 前記権限、前記プロセスグループ、及び前記制御対象グループは、それぞれ、オペレーティングシステムのTEモデル及びRBACモデルにおけるロール、ドメイン、及びタイプに相当することを特徴とする請求項2に記載の情報処理装置。
  7. コンピュータを利用する際に各利用者がアクセス可能な前記コンピュータの制御対象を定めたアクセス制御設定データを、前記コンピュータで実行されるプログラム毎に記憶するアクセス制御設定データ記憶部と、前記各アクセス制御設定データが満たすべきアクセス制御の設定方針を記憶するセキュリティポリシーデータ記憶部と、を備える情報処理装置の制御方法であって、
    前記情報処理装置が、前記各アクセス制御設定データが前記アクセス制御の設定方針に適合するか否かの検証を行い、
    前記情報処理装置が、前記検証の結果を出力する、
    ことを特徴とする情報処理装置の制御方法。
  8. コンピュータを利用する際に各利用者がアクセス可能な前記コンピュータの制御対象を定めたアクセス制御設定データを、前記コンピュータで実行されるプログラム毎に記憶するアクセス制御設定データ記憶部と、前記各アクセス制御設定データが満たすべきアクセス制御の設定方針を記憶するセキュリティポリシーデータ記憶部と、を備える情報処理装置に、
    前記各アクセス制御設定データが前記アクセス制御の設定方針に適合するか否かの検証を行う手順と、
    前記検証の結果を出力する手順と、
    を実行させるためのソフトウェア。
JP2005225954A 2005-08-03 2005-08-03 情報処理装置、情報処理装置の制御方法及びソフトウェア Pending JP2007041881A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005225954A JP2007041881A (ja) 2005-08-03 2005-08-03 情報処理装置、情報処理装置の制御方法及びソフトウェア

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005225954A JP2007041881A (ja) 2005-08-03 2005-08-03 情報処理装置、情報処理装置の制御方法及びソフトウェア

Publications (1)

Publication Number Publication Date
JP2007041881A true JP2007041881A (ja) 2007-02-15

Family

ID=37799799

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005225954A Pending JP2007041881A (ja) 2005-08-03 2005-08-03 情報処理装置、情報処理装置の制御方法及びソフトウェア

Country Status (1)

Country Link
JP (1) JP2007041881A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009006346A2 (en) * 2007-06-29 2009-01-08 Oracle International Corporation System and method for resolving permission for role activation operators
EP2128786A1 (en) 2008-05-30 2009-12-02 Fujitsu Limited Access control policy compliance check process
JP2013196175A (ja) * 2012-03-16 2013-09-30 Nec Corp 電子文書データベースを含む情報処理装置、不正格納文書検出方法、及びプログラム
JP2013196325A (ja) * 2012-03-19 2013-09-30 Toshiba Corp 権限変更装置、作成装置及びプログラム
JP2023063811A (ja) * 2021-10-25 2023-05-10 ジェイズ・コミュニケーション株式会社 アクセス制御システム

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009006346A2 (en) * 2007-06-29 2009-01-08 Oracle International Corporation System and method for resolving permission for role activation operators
WO2009006346A3 (en) * 2007-06-29 2009-02-19 Oracle Int Corp System and method for resolving permission for role activation operators
US7890531B2 (en) 2007-06-29 2011-02-15 Oracle International Corporation Method for resolving permission for role activation operators
US8181243B2 (en) 2007-06-29 2012-05-15 Oracle International Corporation Computer readable medium for resolving permission for role activation operators
EP2128786A1 (en) 2008-05-30 2009-12-02 Fujitsu Limited Access control policy compliance check process
US8413211B2 (en) 2008-05-30 2013-04-02 Fujitsu Limited Access control policy compliance check process
JP2013196175A (ja) * 2012-03-16 2013-09-30 Nec Corp 電子文書データベースを含む情報処理装置、不正格納文書検出方法、及びプログラム
US9292704B2 (en) 2012-03-16 2016-03-22 Nec Corporation Information processing device for detecting an illegal stored document, illegal stored document detection method and recording medium
JP2013196325A (ja) * 2012-03-19 2013-09-30 Toshiba Corp 権限変更装置、作成装置及びプログラム
JP2023063811A (ja) * 2021-10-25 2023-05-10 ジェイズ・コミュニケーション株式会社 アクセス制御システム

Similar Documents

Publication Publication Date Title
Li et al. Rebooting research on detecting repackaged android apps: Literature review and benchmark
Cen et al. A probabilistic discriminative model for android malware detection with decompiled source code
US8370553B2 (en) Formal verification of random priority-based arbiters using property strengthening and underapproximations
JP6346632B2 (ja) モバイルデバイスでの悪質なファイルを検出するシステム及び方法
CN102938039B (zh) 针对应用的选择性文件访问
CN105659211B (zh) 虚拟机管理器促进的选择性代码完整性实施
US8732824B2 (en) Method and system for monitoring integrity of running computer system
US10691822B1 (en) Policy validation management
MX2013013970A (es) Sistema y metodo para conservar referencias en los aislamientos de procesos.
US20150348054A1 (en) Risk analysis device, risk analysis method and program storage medium
WO2022134760A1 (zh) 数据处理方法、装置、电子设备及介质
WO2017052947A1 (en) Hardware-assisted software verification and secure execution
WO2017112168A1 (en) Multi-label content recategorization
US20120216255A1 (en) Attesting a Plurality of Data Processing Systems
JP2021051745A (ja) コンピュータ装置およびメモリ管理方法
US20130276123A1 (en) Mechanism for providing a secure environment for acceleration of software applications at computing devices
JP2007041881A (ja) 情報処理装置、情報処理装置の制御方法及びソフトウェア
US9836585B2 (en) User centric method and adaptor for digital rights management system
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
US9430595B2 (en) Managing model checks of sequential designs
Kang et al. Aegis: An automated permission generation and verification system for sdns
WO2023239526A1 (en) Controlling application access to sensitive data
Wang et al. SyzTrust: State-aware fuzzing on trusted OS designed for IoT devices
WO2023043584A1 (en) Credential input detection and threat analysis
Zhou et al. Dtstm: dynamic tree style trust measurement model for cloud computing