JP7040467B2 - 更新装置および更新方法 - Google Patents

更新装置および更新方法 Download PDF

Info

Publication number
JP7040467B2
JP7040467B2 JP2019003731A JP2019003731A JP7040467B2 JP 7040467 B2 JP7040467 B2 JP 7040467B2 JP 2019003731 A JP2019003731 A JP 2019003731A JP 2019003731 A JP2019003731 A JP 2019003731A JP 7040467 B2 JP7040467 B2 JP 7040467B2
Authority
JP
Japan
Prior art keywords
file
access
package
package containing
source file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019003731A
Other languages
English (en)
Other versions
JP2020113072A (ja
Inventor
健一郎 武藤
毅 中津留
和巳 木下
公洋 山越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2019003731A priority Critical patent/JP7040467B2/ja
Priority to AU2019420941A priority patent/AU2019420941B2/en
Priority to CN201980088321.2A priority patent/CN113272808B/zh
Priority to US17/421,719 priority patent/US11809580B2/en
Priority to EP19909433.5A priority patent/EP3889814B1/en
Priority to PCT/JP2019/050224 priority patent/WO2020145100A1/ja
Publication of JP2020113072A publication Critical patent/JP2020113072A/ja
Application granted granted Critical
Publication of JP7040467B2 publication Critical patent/JP7040467B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Stored Programmes (AREA)

Description

本発明は、更新装置および更新方法に関する。
従来、サーバ等の制御通信機器において、ファイルへのアクセスの許否を制御するアクセス制御技術が検討されている。例えば、予め設定されたアクセス制御リスト(以下、ACL(Access Control List)とも記す。)に基づいて、完全性が確認された実行ファイルに対するアクセスのみ、実行を許可する技術が提案されている(非特許文献1参照)。また、ファイルへのアクセスを許可するプロセスを予め設定しておき、ファイルにアクセスするプロセスを監視して、ファイルへのアクセスを特定のプロセスに限定するアクセス制御技術も提案されている。
"AppLocker 規則条件の種類について"、[online]、2015年10月26日、MSDNライブラリ、[2018年11月28日検索]、インターネット<URL:https://msdn.microsoft.com/ja-jp/library/ee460959(v=ws.11).aspx>
しかしながら、従来の技術では、アクセス制御ポリシを表すACLの適切な設定が困難な場合がある。例えば、従来の技術では、ファイルのハッシュ値の一致性に基づいてファイルの完全性を確認するアクセス制御ポリシのACLが設定される。一方、予めハッシュ値を定義することが困難なファイルに対しては、ファイルへのアクセスを許可するプロセスを予め設定しておき、ファイルにアクセスするプロセスを限定するアクセス制御技術が適用される。しかしながら、このようなファイルにアクセスするプロセスの実行ファイルが改ざんされていた場合には、改ざんされたプロセスからのアクセスを許可してしまう場合がある。
そこで、アクセス制御の対象とするアクセス先ファイルごとに、このファイルへのアクセスを許可するプロセスの実行ファイルをアクセス元ファイルとして、アクセス先ファイルとアクセス元ファイルとをACLに設定する技術が提案されている。
ここで、このようにアクセス先ファイルとアクセス元ファイルとを用いたACLの設定を行う際には、不適切なアクセス制御ポリシのACLを設定してしまう場合がある。例えば、システム運用中に運用者自身がアクセス制御ポリシを作成してACLを更新する場合には、設定する必要がないアクセス制御ポリシを作成して不用意に適用してしまう場合がある。また、ソフトウェアをインストールする際等に第三者が作成したアクセス制御ポリシを活用してACLを更新する場合には、悪意のあるアクセス制御ポリシとは気づかずにこれを流用してしまう場合がある。いずれの場合にも、ACLのセキュリティレベルが低下して、セキュリティホールの要因となってしまうおそれがある。
本発明は、上記に鑑みてなされたものであって、不適切なアクセス制御ポリシの追加を制限して、アクセス制御リストを適切に設定することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る更新装置は、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報と、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むアクセス制御リストと、を記憶する記憶部と、ファイルとアクセス元ファイルとの組み合わせが指定された場合に、前記パッケージ管理情報を参照し、前記ファイルが含まれるパッケージと、前記アクセス元ファイルが含まれるパッケージとを特定する特定部と、特定された前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された前記組み合わせを前記アクセス制御リストに追加する追加部と、を備えることを特徴とする。
本発明によれば、不適切なアクセス制御ポリシの追加を制限して、アクセス制御リストを適切に設定することが可能となる。
図1は、アクセス制御装置の処理概要を説明するための図である。 図2は、本実施形態の更新装置の概略構成を例示する模式図である。 図3は、パッケージ管理情報のデータ構成を例示する図である。 図4は、ACLのデータ構成を例示する図である。 図5は、追加部の処理を説明するための図である。 図6は、追加部の処理を説明するための図である。 図7は、更新処理手順を示すフローチャートである。 図8は、更新プログラムを実行するコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[アクセス制御装置の処理概要]
本実施形態の更新装置は、アクセス制御装置のアクセス制御に用いられるACLを更新する更新処理を行うものである。まず、図1は、アクセス制御装置の処理概要を説明するための図である。図1に示すように、アクセス制御装置は、アクセス制御の対象とするアクセス先ファイルにアクセスするプロセスを検知した場合に、アクセス制御ポリシを表すACLに基づいて、このプロセスによるこのアクセス先ファイルへの許否を制御するアクセス制御を行う。
例えば、アクセス制御装置は、検知したプロセスの実行ファイルが、予め設定されたACLにアクセス先ファイルに対するアクセス元ファイルとして設定されている場合にのみ、このプロセスによるアクセス先ファイルへのアクセスを許可する。アクセス制御装置は、このACLに基づいて、アクセス先ファイルとアクセス元ファイルとの双方の完全性を確認し、アクセスを許可している。
本実施形態の更新装置は、アクセス制御装置のACLを更新する更新処理を行う。ここで、不要なファイル間のアクセスの許可を不用意にACLに追加すると、セキュリティレベルが低下して、セキュリティホールの要因となるおそれがある。
なお、Linux(登録商標)のRPM(RPM Package Manager)等のパッケージ管理情報が知られている。パッケージ管理情報は、実行ファイルや設定ファイルやライブラリファイル等を一括にして管理する情報である。各パッケージには、少なくとも、インストール時に含まれる実行ファイルが含まれる。インストール後に生成されるファイルが含まれていてもよい。パッケージ管理情報には、各パッケージにつき、どのパッケージのソフトウェアにどのパッケージのソフトウェアが必要か、つまりどのパッケージがどのパッケージに依存しているのかという、ソフトウェアのパッケージ開発者が想定したパッケージ間の依存関係を表す情報が含まれる。
そこで、本実施形態の更新装置は、パッケージ管理情報を用いて、ソフトウェアのパッケージ開発者が想定するファイル間のアクセスか否かを考慮して、少なくとも不必要なACLへの追加を制限するACLの更新処理を実行する。
なお、以下の説明では、更新装置10は、アクセス制御装置とは異なるハードウェアに実装される装置としているが、アクセス制御装置に組み込まれた装置であってもよい。
[更新装置の構成]
図2は、本実施形態の更新装置の概略構成を例示する模式図である。図2に例示するように、更新装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。例えば、通信制御部13は、後述する更新処理に用いられるパッケージ管理情報を管理する管理装置、更新処理の対象のACLを管理するアクセス制御装置、多数のファイルを管理するファイル管理システム等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。本実施形態において、記憶部14は、パッケージ管理情報14aと、ACL14bとを記憶する。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
図3は、パッケージ管理情報14aを例示する図である。パッケージ管理情報14aは、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含む。各パッケージには、少なくとも、インストール時に含まれる実行ファイルと、インストール後に生成されるファイルとが含まれる。
具体的には、図3に示すように、パッケージ管理情報14aは、パッケージごとに、既存先のパッケージと、自パッケージに含まれるファイルとが対応付けられた情報である。依存元のパッケージは、当該パッケージを機能させるためには、依存先のパッケージを必要とする。図3に示す例では、例えば、パッケージ「openssl」には、ファイル「/…/openssl」「/…/openssl.conf」等が含まれていることが例示されている。また、パッケージ「mod_ssl」を依存元とする依存先のパッケージが「openssl」「httpd」であることが例示されている。ここで、「/…/」は、ファイルパスを省略した表記である。また、パッケージ「openssl」については、ソフトウェアのパッケージ開発者が想定する依存先のパッケージがないことが例示されている。
本実施形態において、更新装置10は、後述する更新処理に先立って予め、入力部11あるいは通信制御部13を介して、パッケージ管理情報14aを取得して、記憶部14に記憶させる。
また、図4は、ACL14bを例示する図である。ACL14bは、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含む。すなわち、ACL14bは、上記のとおり、アクセス先ファイルへのアクセスが許可されているアクセス元ファイルを指定するホワイトリストである。
図4に示す例では、例えば、アクセス先ファイル「/…/openssl.conf」に対して、アクセス元ファイル「/…/openssl」からのアクセスが許可されることが示されている。
本実施形態において、更新装置10は、後述する更新処理に先立って予め、入力部11あるいは通信制御部13を介して、アクセス制御装置のACL14bを取得して、記憶部14に記憶させる。
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図4に例示するように、特定部15aおよび追加部15bとして機能する。
特定部15aは、アクセス先ファイルとアクセス元ファイルとの組み合わせが指定された場合に、パッケージ管理情報14aを参照し、アクセス先ファイルが含まれるパッケージと、アクセス元ファイルが含まれるパッケージとを特定する。
具体的には、運用者がACL14bに追加したいアクセス制御ポリシとして、入力部11あるいは通信制御部13を介してアクセス先ファイルとアクセス元ファイルとの組み合わせを指定した場合に、まず、特定部15aは、パッケージ管理情報14aを参照する。そして、特定部15aは、指定されたアクセス先ファイルとアクセス元ファイルとのそれぞれが含まれるパッケージを特定する。
例えば、図3に示した例では、アクセス先ファイル「/…/openssl」とアクセス元ファイル「/…/mod_ssl」との組み合わせが指定された場合に、特定部15aは、アクセス先ファイルのパッケージ「openssl」を特定する。また、特定部15aは、アクセス元ファイルのパッケージ「mod_ssl」を特定する。
追加部15bは、特定されたファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された組み合わせをACL14bに追加する。
ここで、図5および図6は、追加部15bの処理を説明するための説明図である。追加部15bは、図5に矢印aで示すように、アクセス元ファイルのパッケージとアクセス先ファイルのパッケージとが同一の場合に、指定された組み合わせをACL14bに追加する。
また、追加部15bは、アクセス元ファイルのパッケージとアクセス先ファイルのパッケージとが相互の依存関係がある場合、すなわち、互いに依存元または依存先のパッケージに該当する場合に、指定された組み合わせをACL14bに追加する。例えば、図5に矢印bで示す組み合わせは、依存元パッケージと依存先パッケージとの連携に必要なアクセス制御ポリシとみなして、ACL14bに追加する。
なお、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、さらに警告を出力してもよい。また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。
つまり、依存関係のあるファイルについての誤ったアクセス制御ポリシは、セキュリティレベルを低下させるおそれがある。そこで、追加部15bは、図5に矢印bで示す組み合わせは、アクセス制御の方針に反していないかを照会するよう警告を出力したり、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、運用方針に従って一律にACL14bへの追加を拒否するようにしてもよい。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された組み合わせをACL14bに追加する。
例えば、図5に矢印cで示す組み合わせは、相互に依存関係がない独立したパッケージ間のアクセス制御ポリシであって、ソフトウェアのパッケージ開発者の想定外ではあるものの、運用者が必要とするファイル間アクセスである可能性がある。そのため、追加部15bは、この組み合わせをACL14bに追加する。
また、図6に矢印dで示す組み合わせは、アクセス元のパッケージとアクセス先のパッケージとが他のパッケージを介しても辿ることができない。そこで、図6に矢印dで示す組み合わせは、図5に矢印cで示した組み合わせと同様に、独立したパッケージ間のアクセス制御ポリシであって、必要なファイル間アクセスである可能性があるため、追加部15bは、ACL14bに追加する。
なお、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、さらに警告を出力する。
例えば、図5に矢印cで示した組み合わせおよび図6に矢印dで示す組み合わせについては、誤ったアクセス制御ポリシではないと断定することはできない。そこで追加部15bは、運用者に判断を委ねるよう、警告を出力する。例えば、追加部15bは、この組み合わせがアクセス制御の方針に反していないかを照会するよう警告を出力する。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。すなわち、追加部15bは、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、この組み合わせについては、一律にACL14bへの追加を拒否するようにしてもよい。
また、追加部15bは、上記以外の組み合わせ、すなわち図6に矢印eで示した、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが他のパッケージを介して依存関係がある組み合わせは、ACL14bへの追加を行わない。アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとの間に相互に直接の依存関係がない場合には、ソフトウェアのパッケージ開発者が想定しないアクセスである可能性が高い。このようなアクセスを不用意に許可すると、ACL14bのセキュリティレベルが低下するおそれがある。したがって、追加部15bは、このような組み合わせは不要なアクセスポリシの追加とみなし、ACL14bへの追加は行わない。
ただし、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが、相互に直接の依存関係がなく、他のパッケージを介して依存関係がある場合には、パッケージ管理情報における依存関係の定義の省略あるいは定義もれである場合もある。
そこで、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが、相互に直接の依存関係がなく、他のパッケージを介して依存関係がある場合に、運用者にACL14bへの追加の可否の承認を要求してもよい。あるいは、一律に追加して、運用者に判断を委ねる警告を出力するようにしてもよい。これにより、パッケージ間に間接的な依存関係がある場合に一律に追加を拒否することなく、パッケージ管理情報の定義の省略あるいは定義もれである場合には、ACL14bへの追加を行うようにすることができる。
なお、追加部13bは、更新処理により更新されたACL14bをアクセス制御装置に出力する。これにより、アクセス制御装置は、更新されたACL14bを適用してファイル間のアクセスの許否を制御することが可能となる。
[更新処理]
次に、図7を参照して、本実施形態に係る更新装置10による更新処理について説明する。図7は、更新処理手順を示すフローチャートである。図7のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。
まず、特定部15aが、アクセス先ファイルとアクセス元ファイルとの組み合わせを指定する入力を受け付ける。また、特定部15aは、パッケージ管理情報14aを参照し、アクセス先ファイルが含まれるパッケージと、アクセス元ファイルが含まれるパッケージとを特定する。
そして、追加部15bは、特定されたアクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一か否かを確認する(ステップS1)。追加部15bは、特定されたアクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一である場合に(ステップS1,Yes)、指定された組み合わせをACL14bに追加する(ステップS6)。
一方、同一ではない場合には(ステップS1,No)、追加部15bは、特定されたファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが相互に依存関係があるか否かを確認する。まず、追加部15bは、特定されたアクセス先ファイルが含まれるパッケージが、アクセス元ファイルが含まれるパッケージの依存先であるか否かを確認する(ステップS2)。追加部15bは、アクセス先ファイルが含まれるパッケージが、アクセス元ファイルが含まれるパッケージの依存先である場合には(ステップS2,Yes)。指定された組み合わせをACL14bに追加する(ステップS6)。
一方、追加部15bは、アクセス先ファイルが含まれるパッケージがアクセス元ファイルが含まれるパッケージの依存先でない場合には(ステップS2,No)、アクセス元ファイルが含まれるパッケージが、アクセス先ファイルが含まれるパッケージの依存先であるか否かを確認する(ステップS3)。追加部15bは、アクセス元ファイルが含まれるパッケージが、アクセス先ファイルが含まれるパッケージの依存先である場合には(ステップS3,Yes)、指定された組み合わせをACL14bに追加する(ステップS6)。
なお、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合には(ステップS2でYes、ステップS3でYes)、指定された組み合わせのACL14bへの追加に変えて、追加の可否の指示を受け付けてもよい。つまり、追加部15bは、指定された組み合わせが、アクセス制御の方針に反していないかを照会するよう警告を出力したり、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、運用方針に従って一律にACL14bへの追加を拒否するようにしてもよい。
一方、追加部15bは、アクセス元ファイルが含まれるパッケージが、アクセス先ファイルが含まれるパッケージの依存先でない場合には(ステップS3,No)、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが、他のパッケージを介して依存関係がないかを確認する。
まず、追加部15bは、アクセス元ファイルの依存先のパッケージを辿ってアクセス先ファイルのパッケージに辿り着くか否かを確認する(ステップS4)。追加部15bは、アクセス元ファイルの依存先のパッケージを辿ってアクセス先ファイルのパッケージに辿り着く場合には(ステップS4,Yes)、ソフトウェアのパッケージ開発者の想定しないアクセスとして、指定された組み合わせのACL14bへの追加を行わない(ステップS7)。
一方、追加部15bは、アクセス元ファイルの依存先のパッケージを辿ってアクセス先ファイルのパッケージに辿り着かない場合には(ステップS4,No)、アクセス先ファイルの依存先のパッケージを辿ってアクセス元ファイルのパッケージに辿り着くか否かを確認する(ステップS5)。追加部15bは、アクセス先ファイルの依存先のパッケージを辿ってアクセス元ファイルのパッケージに辿り着く場合には(ステップS5,Yes)、ソフトウェアのパッケージ開発者の想定しないアクセスとして、指定された組み合わせのACL14bへの追加を行わない(ステップS7)。
一方、追加部15bは、アクセス先ファイルの依存先のパッケージを辿ってアクセス元ファイルのパッケージに辿り着かない場合には(ステップS5,No)、独立したパッケージ間のアクセス制御ポリシとして、指定された組み合わせをACL14bに追加する(ステップS8)。また、追加部15bは、運用者に判断を委ねるための警告を出力する。
例えば、追加部15bは、この組み合わせがアクセス制御の方針に反していないかを照会するよう警告を出力する。また、追加部15bは、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、この組み合わせについては、一律にACL14bへの追加を拒否するようにしてもよい。
また、ステップS7の処理において、一律に追加を拒否する代わりに、運用者にACL14bへの追加の可否の承認を要求してもよい。あるいは、一律に追加して、運用者に判断を委ねる警告を出力するようにしてもよい。これにより、パッケージ管理情報の定義の省略あるいは定義もれである場合には、ACL14bへの追加を行うようにすることができるようになる。
以上により、一連の更新処理が終了する。その結果、更新装置10は、少なくとも不適切なアクセス制御ポリシの追加を制限してACL14bを更新することができる。したがって、ACL14bのセキュリティレベルの緩和を最小限に留めることが可能となる。
以上、説明したように、本実施形態の更新装置10において、記憶部14が、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報14aと、アクセス先ファイルと該アクセス先ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むACL14bと、を記憶する。また、特定部15aが、アクセス先ファイルとアクセス元ファイルとの組み合わせが指定された場合に、パッケージ管理情報14aを参照し、アクセス先ファイルが含まれるパッケージと、アクセス元ファイルが含まれるパッケージとを特定する。また、追加部15bが、特定されたアクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された組み合わせをACL14bに追加する。
このように、更新装置10は、ソフトウェアのパッケージ開発者の想定した依存関係がある組み合わせのアクセスであることを条件に、ACL14bに追加することにより、少なくとも不適切なアクセス制御ポリシの追加を制限してACL14bを更新することができる。したがって、ACL14bのセキュリティレベルの緩和を最小限に留めることが可能となる。このように、更新装置10は、ACLを適切に設定することが可能となる。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、さらに警告を出力してもよい。または、追加部15bは、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。これにより、ACL14bへの追加の可否を運用者の判断に委ねることが可能となる。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された組み合わせをACL14bに追加する。
これにより、独立したパッケージ間のアクセス制御ポリシであって、必要なファイル間アクセスである可能性がある、独立したパッケージ間のアクセス制御ポリシをACL14bに追加することができる。
その際に、追加部15bは、さらに警告を出力する。あるいは、追加部15bは、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。これにより、ACL14bへの追加の可否を運用者の判断に委ねることが可能となる。
また、これにより、追加部15bは、上記以外の、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが他のパッケージを介して依存関係がある組み合わせのACL14bへの追加を制限することができる。つまり、パッケージ間に相互に直接の依存関係がない、ソフトウェアのパッケージ開発者が想定しないアクセスである可能性が高い不要なアクセスのACL14bへの追加を制限することができる。
[プログラム]
上記実施形態に係る更新装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、更新装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の更新処理を実行する更新プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の更新プログラムを情報処理装置に実行させることにより、情報処理装置を更新装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、更新装置10の機能を、クラウドサーバに実装してもよい。
図8は、更新プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、更新プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した更新装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、更新プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、更新プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、更新プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 更新装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a パッケージ管理情報
14b アクセス制御リスト(ACL)
15 制御部
15a 特定部
15b 追加部

Claims (7)

  1. ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報と、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むアクセス制御リストと、を記憶する記憶部と、
    ファイルとアクセス元ファイルとの組み合わせが指定された場合に、前記パッケージ管理情報を参照し、前記ファイルが含まれるパッケージと、前記アクセス元ファイルが含まれるパッケージとを特定する特定部と、
    特定された前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された前記組み合わせを前記アクセス制御リストに追加する追加部と、
    を備えることを特徴とする更新装置。
  2. 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、さらに警告を出力することを特徴とする請求項1に記載の更新装置。
  3. 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、指定された前記組み合わせの前記アクセス制御リストへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けることを特徴とする請求項1に記載の更新装置。
  4. 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された前記組み合わせを前記アクセス制御リストに追加することを特徴とする請求項1に記載の更新装置。
  5. 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、さらに警告を出力することを特徴とする請求項4に記載の更新装置。
  6. 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された前記組み合わせの前記アクセス制御リストへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けることを特徴とする請求項4に記載の更新装置。
  7. 更新装置で実行される更新方法であって、
    前記更新装置は、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報と、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むアクセス制御リストと、を記憶する記憶部を備え、
    ファイルとアクセス元ファイルとの組み合わせが指定された場合に、前記パッケージ管理情報を参照し、前記ファイルが含まれるパッケージと、前記アクセス元ファイルが含まれるパッケージとを特定する特定工程と、
    特定された前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された前記組み合わせを前記アクセス制御リストに追加する追加工程と、
    を含んだことを特徴とする更新方法。
JP2019003731A 2019-01-11 2019-01-11 更新装置および更新方法 Active JP7040467B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2019003731A JP7040467B2 (ja) 2019-01-11 2019-01-11 更新装置および更新方法
AU2019420941A AU2019420941B2 (en) 2019-01-11 2019-12-20 Update device and update method
CN201980088321.2A CN113272808B (zh) 2019-01-11 2019-12-20 更新装置及更新方法
US17/421,719 US11809580B2 (en) 2019-01-11 2019-12-20 Update device and update method
EP19909433.5A EP3889814B1 (en) 2019-01-11 2019-12-20 Update device and update method
PCT/JP2019/050224 WO2020145100A1 (ja) 2019-01-11 2019-12-20 更新装置および更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019003731A JP7040467B2 (ja) 2019-01-11 2019-01-11 更新装置および更新方法

Publications (2)

Publication Number Publication Date
JP2020113072A JP2020113072A (ja) 2020-07-27
JP7040467B2 true JP7040467B2 (ja) 2022-03-23

Family

ID=71520335

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019003731A Active JP7040467B2 (ja) 2019-01-11 2019-01-11 更新装置および更新方法

Country Status (6)

Country Link
US (1) US11809580B2 (ja)
EP (1) EP3889814B1 (ja)
JP (1) JP7040467B2 (ja)
CN (1) CN113272808B (ja)
AU (1) AU2019420941B2 (ja)
WO (1) WO2020145100A1 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5761669A (en) 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
US20130262716A1 (en) 2012-03-28 2013-10-03 Fujitsu Limited Information processing apparatus and control method
US20150178495A1 (en) 2011-09-09 2015-06-25 Microsoft Technology Licensing, Llc Pervasive Package Identifiers
US20180268156A1 (en) 2017-03-20 2018-09-20 Zhigang Luo Methods and apparatus for containerized secure computing resources

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002278839A (ja) * 2001-03-15 2002-09-27 Sony Corp データアクセス管理システム、メモリ搭載デバイス、およびデータアクセス管理方法、並びにプログラム記憶媒体
US7962918B2 (en) * 2004-08-03 2011-06-14 Microsoft Corporation System and method for controlling inter-application association through contextual policy control
JP2008021247A (ja) * 2006-07-14 2008-01-31 Nec Software Kyushu Ltd 情報処理装置、ファイルアクセス制御方法、及びプログラム
US8950007B1 (en) * 2008-04-07 2015-02-03 Lumension Security, Inc. Policy-based whitelisting with system change management based on trust framework
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8788655B2 (en) * 2008-12-19 2014-07-22 Openpeak Inc. Systems for accepting and approving applications and methods of operation of same
CN101615236B (zh) * 2009-07-24 2011-07-20 北京工业大学 一种基于强制访问控制技术的可信应用环境构建方法
US20140032733A1 (en) * 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US9454670B2 (en) * 2012-12-03 2016-09-27 International Business Machines Corporation Hybrid file systems
JP5750497B2 (ja) * 2013-12-11 2015-07-22 株式会社アイキュエス アクセス制御装置、プログラム及びアクセス制御システム
US9513941B2 (en) * 2014-09-17 2016-12-06 International Business Machines Corporation Codeless generation of APIs
CN106796635B (zh) * 2014-10-14 2019-10-22 日本电信电话株式会社 确定装置、确定方法
JP6529304B2 (ja) * 2015-03-25 2019-06-12 株式会社日立ソリューションズ アクセス制御システム及びアクセス制御方法
US10270778B2 (en) * 2016-03-21 2019-04-23 Google Llc Methods and systems for dynamic creation of access control lists
CN108108633B (zh) * 2017-12-20 2021-07-13 中国科学院深圳先进技术研究院 一种数据文件及其访问方法、装置及设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5761669A (en) 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
US20150178495A1 (en) 2011-09-09 2015-06-25 Microsoft Technology Licensing, Llc Pervasive Package Identifiers
US20130262716A1 (en) 2012-03-28 2013-10-03 Fujitsu Limited Information processing apparatus and control method
JP2013206173A (ja) 2012-03-28 2013-10-07 Fujitsu Ltd 情報処理装置、制御方法及び制御プログラム
US20180268156A1 (en) 2017-03-20 2018-09-20 Zhigang Luo Methods and apparatus for containerized secure computing resources
WO2018171171A1 (en) 2017-03-20 2018-09-27 Huawei Technologies Co., Ltd. Methods and apparatus for containerized secure computing resources

Also Published As

Publication number Publication date
US11809580B2 (en) 2023-11-07
AU2019420941B2 (en) 2023-06-08
WO2020145100A1 (ja) 2020-07-16
AU2019420941A1 (en) 2021-07-22
EP3889814B1 (en) 2023-04-19
CN113272808A (zh) 2021-08-17
EP3889814A4 (en) 2022-08-17
CN113272808B (zh) 2024-01-30
US20220092195A1 (en) 2022-03-24
JP2020113072A (ja) 2020-07-27
EP3889814A1 (en) 2021-10-06

Similar Documents

Publication Publication Date Title
TWI420338B (zh) 安全之瀏覽器基礎應用程式
US7516477B2 (en) Method and system for ensuring that computer programs are trustworthy
US9390241B2 (en) Method for executing an application in a restricted operating environment
US7792964B2 (en) Running internet applications with low rights
US8646044B2 (en) Mandatory integrity control
JP2009522694A (ja) オブジェクトへのユーザアクセスの管理
US11797704B2 (en) Managing privilege delegation on a computer device
US11165780B2 (en) Systems and methods to secure publicly-hosted cloud applications to run only within the context of a trusted client application
JP2006107505A (ja) アクセス認可のapi
JP2018124893A (ja) 計算機システム及びファイルアクセスコントロール方法
JP2004303242A (ja) 高信頼性コンピューティングシステムにおけるセキュリティ属性
KR20170059447A (ko) 신뢰가능 플랫폼 모듈에서의 운영 체제 컨텍스트 표현 기법
US11301228B2 (en) Managing removal and modification of installed programs on a computer device
JP7040467B2 (ja) 更新装置および更新方法
CN117807568B (zh) 基于Linux操作系统的安装权限控制方法、装置、电子设备及存储介质
US11855996B1 (en) Systems and methods for controlling access
CN117807568A (zh) 基于Linux操作系统的安装权限控制方法、装置、电子设备及存储介质
CN112784263A (zh) 位元锁磁盘处理程序管理系统与方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210414

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220221

R150 Certificate of patent or registration of utility model

Ref document number: 7040467

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150