JP4390263B2 - セキュアosにおけるプロセスのアクセス権限可視化表示方法 - Google Patents
セキュアosにおけるプロセスのアクセス権限可視化表示方法 Download PDFInfo
- Publication number
- JP4390263B2 JP4390263B2 JP2004078552A JP2004078552A JP4390263B2 JP 4390263 B2 JP4390263 B2 JP 4390263B2 JP 2004078552 A JP2004078552 A JP 2004078552A JP 2004078552 A JP2004078552 A JP 2004078552A JP 4390263 B2 JP4390263 B2 JP 4390263B2
- Authority
- JP
- Japan
- Prior art keywords
- resource
- information
- domain
- access
- access authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
- User Interface Of Digital Computer (AREA)
Description
セキュアオペレーティングシステム(セキュアOS)におけるプロセスのアクセス権限可視化表示方法に関するものである。
現在広く使われているOS(オペレーティングシステム)のアクセス制御は、リソースの所有者がそのリソースへのアクセス権限を設定する。また、全ての権限をもつ特権というものが存在する。
これに対してセキュアOSとは、全権を持つ特権を排除し、プロセス毎にアクセス権限を付与できるようにしたOSである。この機能により、プロセスが必要なリソースにだけアクセスすることがOSによって保証され、プロセスにセキュリティホールがあり、攻撃者にプロセスが乗っ取られたとしても、その被害を最小限にすることができる。セキュアOSに関する従来の技術として、下記の特許文献1に開示されたものがある。
セキュアOSにおける各プロセスのアクセス権限の設定は、プロセス毎にアクセスできるリソースを指定して設定しなければならないため、設定すべき項目が多くなり、複雑になる。セキュアOSにおける各プロセスのアクセス権限の設定を簡略化する方法としては、GUIでプロセス毎にアクセスできるリソースを指定できるようにすることが一般的であった。
特開平10−124398号公報
これに対してセキュアOSとは、全権を持つ特権を排除し、プロセス毎にアクセス権限を付与できるようにしたOSである。この機能により、プロセスが必要なリソースにだけアクセスすることがOSによって保証され、プロセスにセキュリティホールがあり、攻撃者にプロセスが乗っ取られたとしても、その被害を最小限にすることができる。セキュアOSに関する従来の技術として、下記の特許文献1に開示されたものがある。
セキュアOSにおける各プロセスのアクセス権限の設定は、プロセス毎にアクセスできるリソースを指定して設定しなければならないため、設定すべき項目が多くなり、複雑になる。セキュアOSにおける各プロセスのアクセス権限の設定を簡略化する方法としては、GUIでプロセス毎にアクセスできるリソースを指定できるようにすることが一般的であった。
セキュアOSにおいては、各プロセスに対してアクセス制御の設定を行う場合は、各プロセスがアクセスする必要があるリソースと許可すべきパーミッションを指定して設定する。しかし、その数は膨大になる。例えばSELinuxというセキュアOSでは、Webサーバプロセスに関連する設定だけでも数百行にのぼる。このような状況では、GUIで設定できるようにしたとしても、設定状況を一目みて把握することはできず、設定ミスの発見も遅れてしまう。
また、ドメイン遷移という機能が存在するセキュアOSでは、子プロセスに別のアクセス権限を割り当てることができる。ドメイン遷移とは、アクセス権限Bで動いているプロセスPがプログラムQを実行した場合、プログラムQはアクセス権限Aで実行するというセキュアOSの機能であり、アクセス権限BとプログラムQとアクセス権限Aの組を指定することでドメイン遷移の設定をすることができる。
また、ドメイン遷移という機能が存在するセキュアOSでは、子プロセスに別のアクセス権限を割り当てることができる。ドメイン遷移とは、アクセス権限Bで動いているプロセスPがプログラムQを実行した場合、プログラムQはアクセス権限Aで実行するというセキュアOSの機能であり、アクセス権限BとプログラムQとアクセス権限Aの組を指定することでドメイン遷移の設定をすることができる。
このようなドメイン遷移という機能が存在するセキュアOSにおいて、ドメイン遷移により子プロセスに重要な権限を割り当てた場合、子プロセスを利用して被害を及ぼす可能性がある。例えば、パスワードを変更するコマンドXは、パスワードファイルに対する書き込み権限が必要である。パスワードファイルに対する書き込み権限を権限αとする。ユーザシェルからコマンドXを立ち上げ、コマンドXが権限αで動作するというドメイン遷移設定を行った場合、コマンドXにセキュリティホールが存在した場合、権限αを悪用してパスワードファイルの改ざんが可能である。また、設定ミスでドメイン遷移により子プロセスに多くの権限を与えているような場合は単純なGUIでは発見できない。
前述の特許文献1においては、各プロセスに対して与えている権限を分かり易く提示する機能については考慮されていない。
前述の特許文献1においては、各プロセスに対して与えている権限を分かり易く提示する機能については考慮されていない。
本発明の目的は、ドメイン遷移による子プロセスへの権限割り当ても含め、セキュアOSの設定状況を、視覚的に容易に把握可能にすることができるセキュアOSにおけるプロセスのアクセス権限可視化表示方法を提供することである。
上記目的を達成するために、本発明では、コンピュータリソースに対するプロセスのアクセス権限を設定する機能を備えたセキュアOSにおけるプロセスのアクセス権限可視化表示する方法であって、
前記コンピュータリソースのリソース名、当該リソース名のリソースに対して許容するアクセス操作および重要度から成る情報を1組としてリソース別に予め記憶した第1の記憶手段から前記リソース名、アクセス許容操作および重要度から成る複数組の情報を読み出す第1のステップと、読み出した複数組の情報の中の重要度の情報に対応した形状または面積または高さを持つオブジェクトを複数組描画する第2のステップと、指定されたドメインにおけるプロセスに対して設定されているリソース名とそのアクセス権限の情報を第2の記憶手段から読み出す第3のステップと、前記第1のステップで読み出した複数組の情報のうち前記第3のステップで読み出したリソース名およびアクセス権限に対応するリソース名およびアクセス許容操作の情報を持つ組を特定し、その特定した組に対応する前記オブジェクトを予め設定した表示形態で表示する第4のステップとを備えることを特徴とする。
また、前記第1のステップにおいてリソースカテゴリを指定し、その指定されたリソースカテゴリに属する複数組の情報を読出し、前記第4のステップにおいて前記指定されたリソースカテゴリのリソースを対象として前記第3のステップで指定されたドメインにおけるプロセスのアクセス権限を前記表示形態で表示することを特徴とする。
また、前記第1のステップにおいて前記第1の記憶手段に記憶された情報をリソースカテゴリ別にソートし、ソート順に全てのリソースカテゴリに属する複数組の情報を読出し、前記第4のステップにおいて前記全てのリソースカテゴリのリソースを対象として前記第3のステップで指定されたドメインにおけるプロセスのアクセス権限を前記表示形態で表示することを特徴とする。
また、前記第4のステップで特定の表示形態で表示されたいずれかの組のオブジェクトに対する選択操作が行われたかを監視し、当該組に対応するリソースに対して前記第1の記憶手段に設定されているアクセス許容操作の情報を変更する第5のステップをさらに備えることを特徴とする。
また、前記コンピュータリソースのリソース名、当該リソース名のリソースに対して許容するアクセス操作および重要度から成る情報を1組としてリソース別に予め記憶した第1の記憶手段から前記リソース名、アクセス許容操作および重要度から成る複数組の情報を読み出す第1のステップと、読み出した複数組の情報の中の重要度の情報に対応した形状または面積または高さを持つオブジェクトを複数組描画する第2のステップと、指定されたドメインにおけるプロセスに対して設定されているリソース名とそのアクセス権限の情報を第2の記憶手段から読み出す第3のステップと、前記第1のステップで読み出した複数組の情報のうち前記第3のステップで読み出したリソース名およびアクセス権限に対応するリソース名およびアクセス許容操作の情報を持つ組を特定する第4のステップと、
前記プロセスのドメイン遷移を設定した第3の記憶手段を解析し、各プロセスのドメイン遷移をツリー状のドメイン遷移ツリーに展開し、該ドメイン遷移ツリーにおけるノードとなるプロセスのアクセス権限を前記第4のステップで特定した組のリソースの重要度の情報に対応した形状または面積または高さを持つオブジェクトにより表示する第5のステップとを備えることを特徴とする。
前記コンピュータリソースのリソース名、当該リソース名のリソースに対して許容するアクセス操作および重要度から成る情報を1組としてリソース別に予め記憶した第1の記憶手段から前記リソース名、アクセス許容操作および重要度から成る複数組の情報を読み出す第1のステップと、読み出した複数組の情報の中の重要度の情報に対応した形状または面積または高さを持つオブジェクトを複数組描画する第2のステップと、指定されたドメインにおけるプロセスに対して設定されているリソース名とそのアクセス権限の情報を第2の記憶手段から読み出す第3のステップと、前記第1のステップで読み出した複数組の情報のうち前記第3のステップで読み出したリソース名およびアクセス権限に対応するリソース名およびアクセス許容操作の情報を持つ組を特定し、その特定した組に対応する前記オブジェクトを予め設定した表示形態で表示する第4のステップとを備えることを特徴とする。
また、前記第1のステップにおいてリソースカテゴリを指定し、その指定されたリソースカテゴリに属する複数組の情報を読出し、前記第4のステップにおいて前記指定されたリソースカテゴリのリソースを対象として前記第3のステップで指定されたドメインにおけるプロセスのアクセス権限を前記表示形態で表示することを特徴とする。
また、前記第1のステップにおいて前記第1の記憶手段に記憶された情報をリソースカテゴリ別にソートし、ソート順に全てのリソースカテゴリに属する複数組の情報を読出し、前記第4のステップにおいて前記全てのリソースカテゴリのリソースを対象として前記第3のステップで指定されたドメインにおけるプロセスのアクセス権限を前記表示形態で表示することを特徴とする。
また、前記第4のステップで特定の表示形態で表示されたいずれかの組のオブジェクトに対する選択操作が行われたかを監視し、当該組に対応するリソースに対して前記第1の記憶手段に設定されているアクセス許容操作の情報を変更する第5のステップをさらに備えることを特徴とする。
また、前記コンピュータリソースのリソース名、当該リソース名のリソースに対して許容するアクセス操作および重要度から成る情報を1組としてリソース別に予め記憶した第1の記憶手段から前記リソース名、アクセス許容操作および重要度から成る複数組の情報を読み出す第1のステップと、読み出した複数組の情報の中の重要度の情報に対応した形状または面積または高さを持つオブジェクトを複数組描画する第2のステップと、指定されたドメインにおけるプロセスに対して設定されているリソース名とそのアクセス権限の情報を第2の記憶手段から読み出す第3のステップと、前記第1のステップで読み出した複数組の情報のうち前記第3のステップで読み出したリソース名およびアクセス権限に対応するリソース名およびアクセス許容操作の情報を持つ組を特定する第4のステップと、
前記プロセスのドメイン遷移を設定した第3の記憶手段を解析し、各プロセスのドメイン遷移をツリー状のドメイン遷移ツリーに展開し、該ドメイン遷移ツリーにおけるノードとなるプロセスのアクセス権限を前記第4のステップで特定した組のリソースの重要度の情報に対応した形状または面積または高さを持つオブジェクトにより表示する第5のステップとを備えることを特徴とする。
本発明によれば、プロセスに設定されたアクセス権限をリソースの重要度に応じた形状のオブジェクト(例えば円グラフなど)に可視化して表示することにより、重要なアクセス権限をプロセスにどれくらい与えられているかを視覚的に提示することが可能になり、アクセス権限の設定誤りなどを容易に把握するのを支援することができる。
また、ドメイン遷移により子プロセスに大きな権限を与えてしまっている設定についてもドメイン遷移を要約した表示により、視覚的に迅速に把握するのを支援することができる。
また、ドメイン遷移により子プロセスに大きな権限を与えてしまっている設定についてもドメイン遷移を要約した表示により、視覚的に迅速に把握するのを支援することができる。
以下、本発明を図示する実施の形態に基づいて詳細に説明する。
図1は、本発明の方法によりプロセスのアクセス権限を可視化表示する機能を設けたシステムの実施の形態を示すシステム構成図である。
図1において、コンピュータ101はネットワーク102を介してサーバ103と接続されている。サーバ103は管理対象となるサーバであり、セキュアOSを搭載している。オペレータ104は、サーバ103のアクセス権限を管理する管理者である。オペレータ104はサーバ103の端末を介してサーバ103を管理するか、コンピュータ101をネットワーク端末として用い、サーバ103を管理する。
図1は、本発明の方法によりプロセスのアクセス権限を可視化表示する機能を設けたシステムの実施の形態を示すシステム構成図である。
図1において、コンピュータ101はネットワーク102を介してサーバ103と接続されている。サーバ103は管理対象となるサーバであり、セキュアOSを搭載している。オペレータ104は、サーバ103のアクセス権限を管理する管理者である。オペレータ104はサーバ103の端末を介してサーバ103を管理するか、コンピュータ101をネットワーク端末として用い、サーバ103を管理する。
図2はサーバ103の詳細構成を示す機能ブロック図である。
図2において、210はサーバ103に搭載されたオペレーティングシステムである。このオペレーティングシステム210はドメインベースのアクセス制御機能211とドメイン遷移機能212を有する。
ドメインベースのアクセス制御機能211とは、プロセス毎にドメインと呼ばれる権限名を割り当て、ドメイン毎にリソースに対するアクセス権限を設定する機能である。
ドメイン遷移機能212とは、プロセスにドメインを割り当てる機能である。ドメイン遷移機能212では、プログラムの実行時にドメインを割り当てる。詳しくは図4で説明する。
アクセス制御設定ファイル220には、ドメインベースのアクセス制御機能211に対する設定が記述されている。これについては図3により後述する。
ドメイン遷移設定ファイル230にはドメイン遷移機能212に対する設定が記述されている。これについては図4で後述する。
重要リソーステーブル240には、システムに対して重要な影響を及ぼすリソースとパーミッションの組が登録されている。例えばパスワードファイルに対する書き込みのパーミッションなどが登録されている。
カテゴリ重み付けテーブル250には権限要約表示機能270で使う情報が記述されている。
GUIアクセス制御設定機能260は、アクセス制御設定ファイル220とドメイン遷移設定ファイル230を編集するためのGUIを提供する。GUIアクセス制御設定機能260を使ってオペレータ104はサーバ103の管理をする。
権限要約表示機能270はドメインがアクセス可能なリソースを要約して表示する機能である。その機能はサーバ103のメモリ中に記憶されており、中要約機能271、大要約機能272、ドメイン遷移要約機能273で構成されている。これらの機能は図8〜図18により後述する。
図2において、210はサーバ103に搭載されたオペレーティングシステムである。このオペレーティングシステム210はドメインベースのアクセス制御機能211とドメイン遷移機能212を有する。
ドメインベースのアクセス制御機能211とは、プロセス毎にドメインと呼ばれる権限名を割り当て、ドメイン毎にリソースに対するアクセス権限を設定する機能である。
ドメイン遷移機能212とは、プロセスにドメインを割り当てる機能である。ドメイン遷移機能212では、プログラムの実行時にドメインを割り当てる。詳しくは図4で説明する。
アクセス制御設定ファイル220には、ドメインベースのアクセス制御機能211に対する設定が記述されている。これについては図3により後述する。
ドメイン遷移設定ファイル230にはドメイン遷移機能212に対する設定が記述されている。これについては図4で後述する。
重要リソーステーブル240には、システムに対して重要な影響を及ぼすリソースとパーミッションの組が登録されている。例えばパスワードファイルに対する書き込みのパーミッションなどが登録されている。
カテゴリ重み付けテーブル250には権限要約表示機能270で使う情報が記述されている。
GUIアクセス制御設定機能260は、アクセス制御設定ファイル220とドメイン遷移設定ファイル230を編集するためのGUIを提供する。GUIアクセス制御設定機能260を使ってオペレータ104はサーバ103の管理をする。
権限要約表示機能270はドメインがアクセス可能なリソースを要約して表示する機能である。その機能はサーバ103のメモリ中に記憶されており、中要約機能271、大要約機能272、ドメイン遷移要約機能273で構成されている。これらの機能は図8〜図18により後述する。
図3は、アクセス制御設定ファイル220の構成を示したものであり、ドメイン310、リソース320、パーミッション330の組を指定して設定するようになっている。
例えば1行目では、httpd_tドメインに対し、/var/wwwというファイルに対して読み込みができるという設定をしている。このファイルに明示的に記述されていない場合のアクセスは全て不可になる。このように、設定を記述することでによってドメインがアクセス可能なリソースを指定する。
例えば1行目では、httpd_tドメインに対し、/var/wwwというファイルに対して読み込みができるという設定をしている。このファイルに明示的に記述されていない場合のアクセスは全て不可になる。このように、設定を記述することでによってドメインがアクセス可能なリソースを指定する。
図4は、ドメイン遷移設定ファイル230の構成を示したものであり、遷移元ドメイン410、エントリポイント420、遷移先ドメイン430を指定して設定するようになっている。遷移元ドメイン410で動いているプロセスが、エントリポイント420のプログラムを実行すると、起動したプロセスは遷移先ドメイン430で動作する。
例えば図4の2行目をみると、init_tで動作しているプロセスが、エントリポイント/etc/init.dのプログラムを実行すると、そのプロセスはinitrc_tというドメインで動作する。このようにして、プロセスにドメインを与える。
例えば図4の2行目をみると、init_tで動作しているプロセスが、エントリポイント/etc/init.dのプログラムを実行すると、そのプロセスはinitrc_tというドメインで動作する。このようにして、プロセスにドメインを与える。
図5は、重要リソーステーブル240の構成を示したものであり、カテゴリ510、リソース名520、パーミッション530、重み付け540が設定されるようになっている。
カテゴリ510はリソースの種類を表しており、リソースはカテゴリ毎に分類されている。リソース名520はリソースの名前である。パーミッション530はリソースに対して許容されるアクセス操作であり、許容される操作として、読み込み、書き込み、利用可などが設定される。
重み付け540は、リソース名520とパーミッション530に設定されたリソースとパーミッションの組み合わせが、どの程度重要な操作であるかを示す。重み付け540が大きいほど重要度が高い。重み付け540は各リソースの重要度を表している。この重要リソーステーブル240は予め用意されている。
カテゴリ510はリソースの種類を表しており、リソースはカテゴリ毎に分類されている。リソース名520はリソースの名前である。パーミッション530はリソースに対して許容されるアクセス操作であり、許容される操作として、読み込み、書き込み、利用可などが設定される。
重み付け540は、リソース名520とパーミッション530に設定されたリソースとパーミッションの組み合わせが、どの程度重要な操作であるかを示す。重み付け540が大きいほど重要度が高い。重み付け540は各リソースの重要度を表している。この重要リソーステーブル240は予め用意されている。
図6は、カテゴリ重み付けテーブル250の構成を示すものであり、重要リソーステーブル240のカテゴリ510が、どの程度重要かの重み付けを記述したテーブルである。カテゴリ610はファイル、ネットワークなどのカテゴリの名前であり、重みづけ620はそれに対する重み付けである。重み付け620が大きいほど重要度は高い。図6の場合では、ファイルに対する重みづけはネットワークの2倍に設定されている。
図7は、GUIアクセス制御設定機能260を示すものである。710は、どのドメインに対する設定であるのかを示している。720には、リソース名が列挙されている。730には、リソース名720で列挙された各リソースに対するパーミッションの付与の様子をチェックボックス731を使って示している。
図7の例の場合では、httpd_tというドメインがhtml,useage,cgi-binというファイルに対して持つ権限(読み、書き、利用)が示されている。
図7の例の場合では、httpd_tというドメインがhtml,useage,cgi-binというファイルに対して持つ権限(読み、書き、利用)が示されている。
図8は、中要約機能271を詳細に示した機能ブロック図である。
中要約機能271は中要約表示機能810、中要約設定機能820、中要約一覧表示機能830から構成されている。
図9は大要約機能272を詳細に示した機能ブロック図である。
大要約機能272は、大要約表示機能910、大要約設定機能920、大要約一覧表示機能930から構成されている。
中要約機能271は中要約表示機能810、中要約設定機能820、中要約一覧表示機能830から構成されている。
図9は大要約機能272を詳細に示した機能ブロック図である。
大要約機能272は、大要約表示機能910、大要約設定機能920、大要約一覧表示機能930から構成されている。
図10は、中要約表示機能810の処理の流れを示したフローチャートである。
中要約表示機能810ではドメインDがカテゴリXのリソースに対して持つ権限を要約した表示を行う。以下、中要約表示機能810の処理について図11の例を用いて説明する。
まず、ステップ1010では、重要リソーステーブル240からカテゴリXにマッチする行を抽出する。例えば、カテゴリXとして「ネットワーク」を管理者104が指定した場合、抽出結果は図11(a)の1110のようになる。
次に、ステップ1020では、アクセス権限を分かり易く表示するためのオブジェクトとして円を描画し、ステップ1010で抽出したネットワークカテゴリに設定されている各リソースの「重み付け」の値に応じて円を分割した円グラフを図11(b)のように描画する。ただし、ここでは円グラフは円を分割するだけで、領域の色分けはしない。円グラフの各領域はステップ1010で抽出した行のリソースとパーミッションに対応する。
図11(b)の例では、1120のような円グラフが描かれる。すなわち、円グラフの0時の方向から時計回りに見ていって最初の領域は「Rawソケット、利用」、2番目の領域は「全てのWell-Knownポート、利用」…のように対応する。
次に、ステップ1030では、管理者104からのドメイン指定操作により指定されたドメインDに関する設定内容をアクセス制御設定ファイル220から抽出する。リソース320とパーミッション330が、ステップ1010で抽出した行のリソース名とパーミッションとマッチするものを取り出す。結果として例えば図11(c)に示すようなリソース名とパーミッションが抽出される。
中要約表示機能810ではドメインDがカテゴリXのリソースに対して持つ権限を要約した表示を行う。以下、中要約表示機能810の処理について図11の例を用いて説明する。
まず、ステップ1010では、重要リソーステーブル240からカテゴリXにマッチする行を抽出する。例えば、カテゴリXとして「ネットワーク」を管理者104が指定した場合、抽出結果は図11(a)の1110のようになる。
次に、ステップ1020では、アクセス権限を分かり易く表示するためのオブジェクトとして円を描画し、ステップ1010で抽出したネットワークカテゴリに設定されている各リソースの「重み付け」の値に応じて円を分割した円グラフを図11(b)のように描画する。ただし、ここでは円グラフは円を分割するだけで、領域の色分けはしない。円グラフの各領域はステップ1010で抽出した行のリソースとパーミッションに対応する。
図11(b)の例では、1120のような円グラフが描かれる。すなわち、円グラフの0時の方向から時計回りに見ていって最初の領域は「Rawソケット、利用」、2番目の領域は「全てのWell-Knownポート、利用」…のように対応する。
次に、ステップ1030では、管理者104からのドメイン指定操作により指定されたドメインDに関する設定内容をアクセス制御設定ファイル220から抽出する。リソース320とパーミッション330が、ステップ1010で抽出した行のリソース名とパーミッションとマッチするものを取り出す。結果として例えば図11(c)に示すようなリソース名とパーミッションが抽出される。
図11(c)の例では、アクセス制御ファイル220から「Rawソケット、利用」と「80番ポート、利用」が取り出されたことを示している。
次に、ステップ1040では、ステップ1020で描画した円グラフの領域のうち、ステップ1030で抽出したリソースとパーミッションに対応するものを塗りつぶす。図11(d)の例では1140のように、リソース名の「Rawソケット」と「80番ポート」に対応する領域が塗りつぶされる。この場合、パーミッションが不一致のものについては、そのことが分かるような特定の色、網掛け表示などの表示形態で表示する。
この中要約表示機能271により、管理者104が指定したネットワークカテゴリの重要リソースについてドメインDにおけるプロセスのアクセス権限が円グラフによって可視化表示される。
なお、円グラフを用いているが、円柱、角柱などの他のオブジェクトを用いた棒グラフで表示するようにしてもよい。棒グラフの場合には、重要度に応じて高さ、あるいは太さを異ならせて表示する。
次に、ステップ1040では、ステップ1020で描画した円グラフの領域のうち、ステップ1030で抽出したリソースとパーミッションに対応するものを塗りつぶす。図11(d)の例では1140のように、リソース名の「Rawソケット」と「80番ポート」に対応する領域が塗りつぶされる。この場合、パーミッションが不一致のものについては、そのことが分かるような特定の色、網掛け表示などの表示形態で表示する。
この中要約表示機能271により、管理者104が指定したネットワークカテゴリの重要リソースについてドメインDにおけるプロセスのアクセス権限が円グラフによって可視化表示される。
なお、円グラフを用いているが、円柱、角柱などの他のオブジェクトを用いた棒グラフで表示するようにしてもよい。棒グラフの場合には、重要度に応じて高さ、あるいは太さを異ならせて表示する。
図12は中要約設定機能820の設定手順を示した説明図である。
まず、ステップ1210では、円グラフがステップ1010〜ステップ1040で描画されており、円グラフの上にマウスカーソル1211が位置付けられている。
ステップ1220では、マウスカーソル1211が位置付けられている円グラフの領域に対するリソース、パーミッションに対応した文字列1221が表示される。
図12の例では、円グラフの領域1222にマウスカーソル1211が位置付けられていることから、「Rawソケットを使う権限です」といった文字列1221が表示される。
ステップ1230では、ステップ1220の状態で領域1222をマウスクリックすると、領域1222の塗りつぶし色が反転し、それに応じてアクセス制御設定ファイル220から該当するパーミッションを削除する。
なお、システム運用において必要なら、パーミッションの「削除」だけでなく、パーミッションの「追加」/「変更」、リソース/重み付けの「変更」をできるようにしても良い。図20に重み付けの「変更」例を示す。図20の領域1231をマウスでダブルクリックすると,重み付け変更画面2010の画面が表示される。重み付け2011の数値を変更することによって重み付けが変更される。
この中要約設定機能820により、アクセス制御設定ファイル220に設定されているドメインDのリソースに対するアクセス権限を変更することができる。
まず、ステップ1210では、円グラフがステップ1010〜ステップ1040で描画されており、円グラフの上にマウスカーソル1211が位置付けられている。
ステップ1220では、マウスカーソル1211が位置付けられている円グラフの領域に対するリソース、パーミッションに対応した文字列1221が表示される。
図12の例では、円グラフの領域1222にマウスカーソル1211が位置付けられていることから、「Rawソケットを使う権限です」といった文字列1221が表示される。
ステップ1230では、ステップ1220の状態で領域1222をマウスクリックすると、領域1222の塗りつぶし色が反転し、それに応じてアクセス制御設定ファイル220から該当するパーミッションを削除する。
なお、システム運用において必要なら、パーミッションの「削除」だけでなく、パーミッションの「追加」/「変更」、リソース/重み付けの「変更」をできるようにしても良い。図20に重み付けの「変更」例を示す。図20の領域1231をマウスでダブルクリックすると,重み付け変更画面2010の画面が表示される。重み付け2011の数値を変更することによって重み付けが変更される。
この中要約設定機能820により、アクセス制御設定ファイル220に設定されているドメインDのリソースに対するアクセス権限を変更することができる。
図13は、中要約一覧表示機能830で表示される中要約一覧表示1310の例を示すものであり、全てのドメインについて中要約表示機能810を適用し、その結果を並べて一覧表示したものである。
この中要約一覧表示機能830により、カテゴリXの重要リソースについて全てのドメインで設定されているアクセス権限が円グラフによって可視化表示される。
この中要約一覧表示機能830により、カテゴリXの重要リソースについて全てのドメインで設定されているアクセス権限が円グラフによって可視化表示される。
図14は、大要約表示機能910の処理の流れを示すフローチャートである。以下、図15の例を使いながら説明する。図15では「admin_t」というドメインについて大要約表示をする例を示している。
まず、ステップ1410では、重要リソーステーブル240をカテゴリ510でソートする。このようにソートした重要リソーステーブル240の例を図15(a)に1510で示している。
次に、ステップ1420では、重要リソーステーブル240の重み付け540とカテゴリ重み付けテーブル250の重み付け620との積をとり、その積の割合で円グラフを描画する。円グラフの各領域はステップ1410でソートした重要リソーステーブル240のリソース520とパーミッション530に対応する。
図15(a)の例では、重要リソーステーブル240の重み付け540とカテゴリ重み付けテーブル250の重み付け620の積は「重み付け2」1520のようになり、図15(b)に示すような「admin_t」ドメインに関する円グラフ1530が描かれる。すなわち、円グラフ1530の0時の方向から時計回りに見ていって最初の領域は「/etc/shadow、読み込み」、2番目の領域は「/etc/shadow、書き込み」…のように対応する。
まず、ステップ1410では、重要リソーステーブル240をカテゴリ510でソートする。このようにソートした重要リソーステーブル240の例を図15(a)に1510で示している。
次に、ステップ1420では、重要リソーステーブル240の重み付け540とカテゴリ重み付けテーブル250の重み付け620との積をとり、その積の割合で円グラフを描画する。円グラフの各領域はステップ1410でソートした重要リソーステーブル240のリソース520とパーミッション530に対応する。
図15(a)の例では、重要リソーステーブル240の重み付け540とカテゴリ重み付けテーブル250の重み付け620の積は「重み付け2」1520のようになり、図15(b)に示すような「admin_t」ドメインに関する円グラフ1530が描かれる。すなわち、円グラフ1530の0時の方向から時計回りに見ていって最初の領域は「/etc/shadow、読み込み」、2番目の領域は「/etc/shadow、書き込み」…のように対応する。
次に、ステップ1430では、アクセス制御設定ファイル220のうち、「admin_t」ドメインに関する行を抽出する。抽出結果は、図15(c)に符号1540で示すようなものとなる。
次に、ステップ1440では、ステップ1430で抽出した行のリソース名とパーミッションに対応した領域の円グラフを図15(d)のように塗りつぶす。この場合、カテゴリ510が異なる場合は違った色にする。図15(d)の例では1550のような円グラフが描画される。
この大要約表示機能910により、全てのカテゴリの重要リソースについてドメインDにおけるプロセスのアクセス権限が円グラフによって可視化表示される。
大要約設定機能920では、中要約設定機能820と同様の処理により、各リソースに対するアクセス権限が変更される。
次に、ステップ1440では、ステップ1430で抽出した行のリソース名とパーミッションに対応した領域の円グラフを図15(d)のように塗りつぶす。この場合、カテゴリ510が異なる場合は違った色にする。図15(d)の例では1550のような円グラフが描画される。
この大要約表示機能910により、全てのカテゴリの重要リソースについてドメインDにおけるプロセスのアクセス権限が円グラフによって可視化表示される。
大要約設定機能920では、中要約設定機能820と同様の処理により、各リソースに対するアクセス権限が変更される。
図16は、大要約一覧表示機能930で表示されるドメインのアクセス権限を要約した結果を一覧表示した例を示すものである。これは、全てのドメインについて大要約表示機能910を適用し、一覧表示したものである。
次に、ドメイン遷移要約機能273について説明する。
次に、ドメイン遷移要約機能273について説明する。
図17は、ドメイン遷移要約機能273の処理の流れを示すフローチャートである。
まず、ステップ1710では、ドメイン遷移設定ファイル230を解析し、遷移元ドメインと遷移先ドメインという親子関係をツリー構造として描画する。
次に、ステップ1720では、ツリーの各ノードのドメインについて、重み付けの和を計算する。ここでいう重み付けの和とは、図15(d)の円グラフ1550のうち色がついている部分の重み付けの和をとったものである。
次に、ステップ1730では、ツリーの各ノードについて、ステップ1720で計算した重み付けの和の高さ分だけ棒グラフを描画する。ここで、棒グラフとツリーは3次元的に描画する。
まず、ステップ1710では、ドメイン遷移設定ファイル230を解析し、遷移元ドメインと遷移先ドメインという親子関係をツリー構造として描画する。
次に、ステップ1720では、ツリーの各ノードのドメインについて、重み付けの和を計算する。ここでいう重み付けの和とは、図15(d)の円グラフ1550のうち色がついている部分の重み付けの和をとったものである。
次に、ステップ1730では、ツリーの各ノードについて、ステップ1720で計算した重み付けの和の高さ分だけ棒グラフを描画する。ここで、棒グラフとツリーは3次元的に描画する。
図18に、ドメイン遷移要約機能273による表示例を示している。
図18(a)はステップ1710でメイン遷移設定ファイル230を解析した結果を符号1810で示している。図18(b)は、ステップ1720で計算した重み付けの和を符号1820で示している。
これらをもとに、ドメイン遷移のツリーと棒グラフを描画すると、図18(c)の符号1830で示すようなものとなる。
図18(c)において、遷移元や遷移先の各ドメインに対応する棒グラフの高さはステップ1720で計算した重み付けの和に対応する。また、矢印1823は遷移関係を示している。
図18(a)はステップ1710でメイン遷移設定ファイル230を解析した結果を符号1810で示している。図18(b)は、ステップ1720で計算した重み付けの和を符号1820で示している。
これらをもとに、ドメイン遷移のツリーと棒グラフを描画すると、図18(c)の符号1830で示すようなものとなる。
図18(c)において、遷移元や遷移先の各ドメインに対応する棒グラフの高さはステップ1720で計算した重み付けの和に対応する。また、矢印1823は遷移関係を示している。
図19は本実施例のアクセス制御管理システムの画面遷移図である。
1910は大要約一覧表示画面であり、大要約一覧表示機能930を用いて画面を表示する。この画面により、大まかな設定状況を把握する。1920は中要約一覧表示画面であり、中要約一覧表示機能830を用いて画面を表示する。この画面により、1910より詳細な設定状況を把握する。
ドメイン遷移要約画面1930は、ドメイン遷移要約機能273を用いて画面を表示する。この画面により、ドメイン遷移に伴う権限の移り変わりを見ることができる。
GUI設定画面1940は、GUIアクセス制御設定機能260を用いて画面を表示する。この画面により、細かな設定をする。図19の矢印のように画面を遷移しながらオペレータ104は、サーバ103におけるドメインベースのアクセス制御機能211の設定をする。
なお、対象とするリソースが少ない場合には重要リソースを設定せずに全てのリソースを対象としてプロセスのアクセス権限を可視化表示する構成にすることができる。
1910は大要約一覧表示画面であり、大要約一覧表示機能930を用いて画面を表示する。この画面により、大まかな設定状況を把握する。1920は中要約一覧表示画面であり、中要約一覧表示機能830を用いて画面を表示する。この画面により、1910より詳細な設定状況を把握する。
ドメイン遷移要約画面1930は、ドメイン遷移要約機能273を用いて画面を表示する。この画面により、ドメイン遷移に伴う権限の移り変わりを見ることができる。
GUI設定画面1940は、GUIアクセス制御設定機能260を用いて画面を表示する。この画面により、細かな設定をする。図19の矢印のように画面を遷移しながらオペレータ104は、サーバ103におけるドメインベースのアクセス制御機能211の設定をする。
なお、対象とするリソースが少ない場合には重要リソースを設定せずに全てのリソースを対象としてプロセスのアクセス権限を可視化表示する構成にすることができる。
101 コンピュータ
102 ネットワーク
103 サーバ
104 オペレータ(管理者)
210 オペレーティングシステム
211 ドメインベースのアクセス制御機能
212 ドメイン遷移機能
220 アクセス制御設定ファイル
230 ドメイン設定ファイル
240 重要リソーステーブル
250 カテゴリ重み付けテーブル
270 権限要約表示機能
271 中要約機能
272 大要約機能
273 ドメイン遷移要約機能
102 ネットワーク
103 サーバ
104 オペレータ(管理者)
210 オペレーティングシステム
211 ドメインベースのアクセス制御機能
212 ドメイン遷移機能
220 アクセス制御設定ファイル
230 ドメイン設定ファイル
240 重要リソーステーブル
250 カテゴリ重み付けテーブル
270 権限要約表示機能
271 中要約機能
272 大要約機能
273 ドメイン遷移要約機能
Claims (5)
- コンピュータリソースに対するプロセスのアクセス権限を設定する機能を備えたセキュアOSにおけるプロセスのアクセス権限可視化表示する方法であって、
前記コンピュータリソースのリソース名、当該リソース名のリソースに対して許容するアクセス操作および重要度から成る情報を1組としてリソース別に予め記憶した第1の記憶手段から前記リソース名、アクセス許容操作および重要度から成る複数組の情報を読み出す第1のステップと、
読み出した複数組の情報の中の重要度の情報に対応した形状または面積または高さを持つオブジェクトを複数組描画する第2のステップと、
指定されたドメインにおけるプロセスに対して設定されているリソース名とそのアクセス権限の情報を第2の記憶手段から読み出す第3のステップと、
前記第1のステップで読み出した複数組の情報のうち前記第3のステップで読み出したリソース名およびアクセス権限に対応するリソース名およびアクセス許容操作の情報を持つ組を特定し、その特定した組に対応する前記オブジェクトを予め設定した表示形態で表示する第4のステップと
を備えることを特徴とするセキュアOSにおけるプロセスのアクセス権限可視化表示方法。 - 前記第1のステップにおいてリソースカテゴリを指定し、その指定されたリソースカテゴリに属する複数組の情報を読出し、前記第4のステップにおいて前記指定されたリソースカテゴリのリソースを対象として前記第3のステップで指定されたドメインにおけるプロセスのアクセス権限を前記表示形態で表示することを特徴とする請求項1に記載のセキュアOSにおけるプロセスのアクセス権限可視化表示方法。
- 前記第1のステップにおいて前記第1の記憶手段に記憶された情報をリソースカテゴリ別にソートし、ソート順に全てのリソースカテゴリに属する複数組の情報を読出し、前記第4のステップにおいて前記全てのリソースカテゴリのリソースを対象として前記第3のステップで指定されたドメインにおけるプロセスのアクセス権限を前記表示形態で表示することを特徴とする請求項1に記載のセキュアOSにおけるプロセスのアクセス権限可視化表示方法。
- 前記第4のステップで特定の表示形態で表示されたいずれかの組のオブジェクトに対する選択操作が行われたかを監視し、当該組に対応するリソースに対して前記第1の記憶手段に設定されているアクセス許容操作の情報を変更する第5のステップをさらに備えることを特徴とする請求項1〜3のいずれか一項に記載のセキュアOSにおけるプロセスのアクセス権限可視化表示方法。
- コンピュータリソースに対するプロセスのアクセス権限を設定する機能を備えたセキュアOSにおけるプロセスのアクセス権限可視化表示する方法であって、
前記コンピュータリソースのリソース名、当該リソース名のリソースに対して許容するアクセス操作および重要度から成る情報を1組としてリソース別に予め記憶した第1の記憶手段から前記リソース名、アクセス許容操作および重要度から成る複数組の情報を読み出す第1のステップと、
読み出した複数組の情報の中の重要度の情報に対応した形状または面積または高さを持つオブジェクトを複数組描画する第2のステップと、
指定されたドメインにおけるプロセスに対して設定されているリソース名とそのアクセス権限の情報を第2の記憶手段から読み出す第3のステップと、
前記第1のステップで読み出した複数組の情報のうち前記第3のステップで読み出したリソース名およびアクセス権限に対応するリソース名およびアクセス許容操作の情報を持つ組を特定する第4のステップと、
前記プロセスのドメイン遷移を設定した第3の記憶手段を解析し、各プロセスのドメイン遷移をツリー状のドメイン遷移ツリーに展開し、該ドメイン遷移ツリーにおけるノードとなるプロセスのアクセス権限を前記第4のステップで特定した組のリソースの重要度の情報に対応した形状または面積または高さを持つオブジェクトにより表示する第5のステップと
を備えることを特徴とするセキュアOSにおけるプロセスのアクセス権限可視化表示方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004078552A JP4390263B2 (ja) | 2004-03-18 | 2004-03-18 | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004078552A JP4390263B2 (ja) | 2004-03-18 | 2004-03-18 | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005267237A JP2005267237A (ja) | 2005-09-29 |
| JP4390263B2 true JP4390263B2 (ja) | 2009-12-24 |
Family
ID=35091724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004078552A Expired - Fee Related JP4390263B2 (ja) | 2004-03-18 | 2004-03-18 | セキュアosにおけるプロセスのアクセス権限可視化表示方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4390263B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4949147B2 (ja) * | 2007-07-13 | 2012-06-06 | 株式会社日立ソリューションズ | セキュアosのセキュリティポリシの最適化方法及びプログラム |
| US9904685B2 (en) | 2009-09-09 | 2018-02-27 | Varonis Systems, Inc. | Enterprise level data management |
| JP5427600B2 (ja) * | 2009-12-28 | 2014-02-26 | 株式会社エヌ・ティ・ティ・データ | アクセス制御設定装置、方法及びコンピュータプログラム |
| JP5427599B2 (ja) * | 2009-12-28 | 2014-02-26 | 株式会社エヌ・ティ・ティ・データ | アクセス制御設定装置、方法及びコンピュータプログラム |
| US8533787B2 (en) | 2011-05-12 | 2013-09-10 | Varonis Systems, Inc. | Automatic resource ownership assignment system and method |
| US8909673B2 (en) | 2011-01-27 | 2014-12-09 | Varonis Systems, Inc. | Access permissions management system and method |
| US9680839B2 (en) * | 2011-01-27 | 2017-06-13 | Varonis Systems, Inc. | Access permissions management system and method |
| WO2012101621A1 (en) | 2011-01-27 | 2012-08-02 | Varonis Systems, Inc. | Access permissions management system and method |
| US9251363B2 (en) | 2013-02-20 | 2016-02-02 | Varonis Systems, Inc. | Systems and methodologies for controlling access to a file system |
-
2004
- 2004-03-18 JP JP2004078552A patent/JP4390263B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005267237A (ja) | 2005-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6202066B1 (en) | Implementation of role/group permission association using object access type | |
| US10114964B2 (en) | Role-based content rendering | |
| US5539906A (en) | Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process | |
| JP4425819B2 (ja) | 適応型ラティス機構を利用したコンピュータ・セキュリティの実施 | |
| US6718386B1 (en) | Methods, system, and article for displaying privilege state data | |
| KR101101085B1 (ko) | 데이터 아이템의 구역 기반 보안 관리 | |
| US9165156B2 (en) | Role-based access control modeling and auditing system | |
| WO2008073978A2 (en) | Method and apparatus for dissociating binding information from objects to enable proper rights management | |
| CN113821777B (zh) | 权限控制方法、装置、计算机设备和存储介质 | |
| JP2013008121A (ja) | データベースアクセス管理システム、方法、及びプログラム | |
| JP4390263B2 (ja) | セキュアosにおけるプロセスのアクセス権限可視化表示方法 | |
| JP4585925B2 (ja) | セキュリティ設計支援方法及び支援装置 | |
| JP2004158007A (ja) | コンピュータアクセス権限 | |
| US8285822B2 (en) | Policy configuration and simulation | |
| JP2003030026A (ja) | データ管理装置 | |
| US20080295145A1 (en) | Identifying non-orthogonal roles in a role based access control system | |
| US20210329037A1 (en) | Computer implemented method and apparatus for management of non-binary privileges in a structured user environment | |
| JP4093811B2 (ja) | ユーザアクセス権制御装置及び方法 | |
| Weippl et al. | Content-based Management of Document Access Control. | |
| JP4723930B2 (ja) | 複合的アクセス認可方法及び装置 | |
| JP3565481B2 (ja) | コンピュータのディレクトリアクセス制御システム及び方法 | |
| CN110995747A (zh) | 一种分布式存储安全性分析方法 | |
| JP4550558B2 (ja) | アクセス制御設定システム | |
| JP7469854B2 (ja) | 画面作成装置 | |
| CN112395641A (zh) | 一种用户权限配置方法、装置、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060629 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090914 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20091005 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20091005 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121016 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |