JP7040467B2 - 更新装置および更新方法 - Google Patents
更新装置および更新方法 Download PDFInfo
- Publication number
- JP7040467B2 JP7040467B2 JP2019003731A JP2019003731A JP7040467B2 JP 7040467 B2 JP7040467 B2 JP 7040467B2 JP 2019003731 A JP2019003731 A JP 2019003731A JP 2019003731 A JP2019003731 A JP 2019003731A JP 7040467 B2 JP7040467 B2 JP 7040467B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- access
- package
- package containing
- source file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Description
本発明は、更新装置および更新方法に関する。
従来、サーバ等の制御通信機器において、ファイルへのアクセスの許否を制御するアクセス制御技術が検討されている。例えば、予め設定されたアクセス制御リスト(以下、ACL(Access Control List)とも記す。)に基づいて、完全性が確認された実行ファイルに対するアクセスのみ、実行を許可する技術が提案されている(非特許文献1参照)。また、ファイルへのアクセスを許可するプロセスを予め設定しておき、ファイルにアクセスするプロセスを監視して、ファイルへのアクセスを特定のプロセスに限定するアクセス制御技術も提案されている。
"AppLocker 規則条件の種類について"、[online]、2015年10月26日、MSDNライブラリ、[2018年11月28日検索]、インターネット<URL:https://msdn.microsoft.com/ja-jp/library/ee460959(v=ws.11).aspx>
しかしながら、従来の技術では、アクセス制御ポリシを表すACLの適切な設定が困難な場合がある。例えば、従来の技術では、ファイルのハッシュ値の一致性に基づいてファイルの完全性を確認するアクセス制御ポリシのACLが設定される。一方、予めハッシュ値を定義することが困難なファイルに対しては、ファイルへのアクセスを許可するプロセスを予め設定しておき、ファイルにアクセスするプロセスを限定するアクセス制御技術が適用される。しかしながら、このようなファイルにアクセスするプロセスの実行ファイルが改ざんされていた場合には、改ざんされたプロセスからのアクセスを許可してしまう場合がある。
そこで、アクセス制御の対象とするアクセス先ファイルごとに、このファイルへのアクセスを許可するプロセスの実行ファイルをアクセス元ファイルとして、アクセス先ファイルとアクセス元ファイルとをACLに設定する技術が提案されている。
ここで、このようにアクセス先ファイルとアクセス元ファイルとを用いたACLの設定を行う際には、不適切なアクセス制御ポリシのACLを設定してしまう場合がある。例えば、システム運用中に運用者自身がアクセス制御ポリシを作成してACLを更新する場合には、設定する必要がないアクセス制御ポリシを作成して不用意に適用してしまう場合がある。また、ソフトウェアをインストールする際等に第三者が作成したアクセス制御ポリシを活用してACLを更新する場合には、悪意のあるアクセス制御ポリシとは気づかずにこれを流用してしまう場合がある。いずれの場合にも、ACLのセキュリティレベルが低下して、セキュリティホールの要因となってしまうおそれがある。
本発明は、上記に鑑みてなされたものであって、不適切なアクセス制御ポリシの追加を制限して、アクセス制御リストを適切に設定することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る更新装置は、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報と、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むアクセス制御リストと、を記憶する記憶部と、ファイルとアクセス元ファイルとの組み合わせが指定された場合に、前記パッケージ管理情報を参照し、前記ファイルが含まれるパッケージと、前記アクセス元ファイルが含まれるパッケージとを特定する特定部と、特定された前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された前記組み合わせを前記アクセス制御リストに追加する追加部と、を備えることを特徴とする。
本発明によれば、不適切なアクセス制御ポリシの追加を制限して、アクセス制御リストを適切に設定することが可能となる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[アクセス制御装置の処理概要]
本実施形態の更新装置は、アクセス制御装置のアクセス制御に用いられるACLを更新する更新処理を行うものである。まず、図1は、アクセス制御装置の処理概要を説明するための図である。図1に示すように、アクセス制御装置は、アクセス制御の対象とするアクセス先ファイルにアクセスするプロセスを検知した場合に、アクセス制御ポリシを表すACLに基づいて、このプロセスによるこのアクセス先ファイルへの許否を制御するアクセス制御を行う。
本実施形態の更新装置は、アクセス制御装置のアクセス制御に用いられるACLを更新する更新処理を行うものである。まず、図1は、アクセス制御装置の処理概要を説明するための図である。図1に示すように、アクセス制御装置は、アクセス制御の対象とするアクセス先ファイルにアクセスするプロセスを検知した場合に、アクセス制御ポリシを表すACLに基づいて、このプロセスによるこのアクセス先ファイルへの許否を制御するアクセス制御を行う。
例えば、アクセス制御装置は、検知したプロセスの実行ファイルが、予め設定されたACLにアクセス先ファイルに対するアクセス元ファイルとして設定されている場合にのみ、このプロセスによるアクセス先ファイルへのアクセスを許可する。アクセス制御装置は、このACLに基づいて、アクセス先ファイルとアクセス元ファイルとの双方の完全性を確認し、アクセスを許可している。
本実施形態の更新装置は、アクセス制御装置のACLを更新する更新処理を行う。ここで、不要なファイル間のアクセスの許可を不用意にACLに追加すると、セキュリティレベルが低下して、セキュリティホールの要因となるおそれがある。
なお、Linux(登録商標)のRPM(RPM Package Manager)等のパッケージ管理情報が知られている。パッケージ管理情報は、実行ファイルや設定ファイルやライブラリファイル等を一括にして管理する情報である。各パッケージには、少なくとも、インストール時に含まれる実行ファイルが含まれる。インストール後に生成されるファイルが含まれていてもよい。パッケージ管理情報には、各パッケージにつき、どのパッケージのソフトウェアにどのパッケージのソフトウェアが必要か、つまりどのパッケージがどのパッケージに依存しているのかという、ソフトウェアのパッケージ開発者が想定したパッケージ間の依存関係を表す情報が含まれる。
そこで、本実施形態の更新装置は、パッケージ管理情報を用いて、ソフトウェアのパッケージ開発者が想定するファイル間のアクセスか否かを考慮して、少なくとも不必要なACLへの追加を制限するACLの更新処理を実行する。
なお、以下の説明では、更新装置10は、アクセス制御装置とは異なるハードウェアに実装される装置としているが、アクセス制御装置に組み込まれた装置であってもよい。
[更新装置の構成]
図2は、本実施形態の更新装置の概略構成を例示する模式図である。図2に例示するように、更新装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
図2は、本実施形態の更新装置の概略構成を例示する模式図である。図2に例示するように、更新装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部の装置と制御部15との通信を制御する。例えば、通信制御部13は、後述する更新処理に用いられるパッケージ管理情報を管理する管理装置、更新処理の対象のACLを管理するアクセス制御装置、多数のファイルを管理するファイル管理システム等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。本実施形態において、記憶部14は、パッケージ管理情報14aと、ACL14bとを記憶する。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
図3は、パッケージ管理情報14aを例示する図である。パッケージ管理情報14aは、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含む。各パッケージには、少なくとも、インストール時に含まれる実行ファイルと、インストール後に生成されるファイルとが含まれる。
具体的には、図3に示すように、パッケージ管理情報14aは、パッケージごとに、既存先のパッケージと、自パッケージに含まれるファイルとが対応付けられた情報である。依存元のパッケージは、当該パッケージを機能させるためには、依存先のパッケージを必要とする。図3に示す例では、例えば、パッケージ「openssl」には、ファイル「/…/openssl」「/…/openssl.conf」等が含まれていることが例示されている。また、パッケージ「mod_ssl」を依存元とする依存先のパッケージが「openssl」「httpd」であることが例示されている。ここで、「/…/」は、ファイルパスを省略した表記である。また、パッケージ「openssl」については、ソフトウェアのパッケージ開発者が想定する依存先のパッケージがないことが例示されている。
本実施形態において、更新装置10は、後述する更新処理に先立って予め、入力部11あるいは通信制御部13を介して、パッケージ管理情報14aを取得して、記憶部14に記憶させる。
また、図4は、ACL14bを例示する図である。ACL14bは、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含む。すなわち、ACL14bは、上記のとおり、アクセス先ファイルへのアクセスが許可されているアクセス元ファイルを指定するホワイトリストである。
図4に示す例では、例えば、アクセス先ファイル「/…/openssl.conf」に対して、アクセス元ファイル「/…/openssl」からのアクセスが許可されることが示されている。
本実施形態において、更新装置10は、後述する更新処理に先立って予め、入力部11あるいは通信制御部13を介して、アクセス制御装置のACL14bを取得して、記憶部14に記憶させる。
制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図4に例示するように、特定部15aおよび追加部15bとして機能する。
特定部15aは、アクセス先ファイルとアクセス元ファイルとの組み合わせが指定された場合に、パッケージ管理情報14aを参照し、アクセス先ファイルが含まれるパッケージと、アクセス元ファイルが含まれるパッケージとを特定する。
具体的には、運用者がACL14bに追加したいアクセス制御ポリシとして、入力部11あるいは通信制御部13を介してアクセス先ファイルとアクセス元ファイルとの組み合わせを指定した場合に、まず、特定部15aは、パッケージ管理情報14aを参照する。そして、特定部15aは、指定されたアクセス先ファイルとアクセス元ファイルとのそれぞれが含まれるパッケージを特定する。
例えば、図3に示した例では、アクセス先ファイル「/…/openssl」とアクセス元ファイル「/…/mod_ssl」との組み合わせが指定された場合に、特定部15aは、アクセス先ファイルのパッケージ「openssl」を特定する。また、特定部15aは、アクセス元ファイルのパッケージ「mod_ssl」を特定する。
追加部15bは、特定されたファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された組み合わせをACL14bに追加する。
ここで、図5および図6は、追加部15bの処理を説明するための説明図である。追加部15bは、図5に矢印aで示すように、アクセス元ファイルのパッケージとアクセス先ファイルのパッケージとが同一の場合に、指定された組み合わせをACL14bに追加する。
また、追加部15bは、アクセス元ファイルのパッケージとアクセス先ファイルのパッケージとが相互の依存関係がある場合、すなわち、互いに依存元または依存先のパッケージに該当する場合に、指定された組み合わせをACL14bに追加する。例えば、図5に矢印bで示す組み合わせは、依存元パッケージと依存先パッケージとの連携に必要なアクセス制御ポリシとみなして、ACL14bに追加する。
なお、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、さらに警告を出力してもよい。また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。
つまり、依存関係のあるファイルについての誤ったアクセス制御ポリシは、セキュリティレベルを低下させるおそれがある。そこで、追加部15bは、図5に矢印bで示す組み合わせは、アクセス制御の方針に反していないかを照会するよう警告を出力したり、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、運用方針に従って一律にACL14bへの追加を拒否するようにしてもよい。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された組み合わせをACL14bに追加する。
例えば、図5に矢印cで示す組み合わせは、相互に依存関係がない独立したパッケージ間のアクセス制御ポリシであって、ソフトウェアのパッケージ開発者の想定外ではあるものの、運用者が必要とするファイル間アクセスである可能性がある。そのため、追加部15bは、この組み合わせをACL14bに追加する。
また、図6に矢印dで示す組み合わせは、アクセス元のパッケージとアクセス先のパッケージとが他のパッケージを介しても辿ることができない。そこで、図6に矢印dで示す組み合わせは、図5に矢印cで示した組み合わせと同様に、独立したパッケージ間のアクセス制御ポリシであって、必要なファイル間アクセスである可能性があるため、追加部15bは、ACL14bに追加する。
なお、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、さらに警告を出力する。
例えば、図5に矢印cで示した組み合わせおよび図6に矢印dで示す組み合わせについては、誤ったアクセス制御ポリシではないと断定することはできない。そこで追加部15bは、運用者に判断を委ねるよう、警告を出力する。例えば、追加部15bは、この組み合わせがアクセス制御の方針に反していないかを照会するよう警告を出力する。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。すなわち、追加部15bは、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、この組み合わせについては、一律にACL14bへの追加を拒否するようにしてもよい。
また、追加部15bは、上記以外の組み合わせ、すなわち図6に矢印eで示した、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが他のパッケージを介して依存関係がある組み合わせは、ACL14bへの追加を行わない。アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとの間に相互に直接の依存関係がない場合には、ソフトウェアのパッケージ開発者が想定しないアクセスである可能性が高い。このようなアクセスを不用意に許可すると、ACL14bのセキュリティレベルが低下するおそれがある。したがって、追加部15bは、このような組み合わせは不要なアクセスポリシの追加とみなし、ACL14bへの追加は行わない。
ただし、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが、相互に直接の依存関係がなく、他のパッケージを介して依存関係がある場合には、パッケージ管理情報における依存関係の定義の省略あるいは定義もれである場合もある。
そこで、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが、相互に直接の依存関係がなく、他のパッケージを介して依存関係がある場合に、運用者にACL14bへの追加の可否の承認を要求してもよい。あるいは、一律に追加して、運用者に判断を委ねる警告を出力するようにしてもよい。これにより、パッケージ間に間接的な依存関係がある場合に一律に追加を拒否することなく、パッケージ管理情報の定義の省略あるいは定義もれである場合には、ACL14bへの追加を行うようにすることができる。
なお、追加部13bは、更新処理により更新されたACL14bをアクセス制御装置に出力する。これにより、アクセス制御装置は、更新されたACL14bを適用してファイル間のアクセスの許否を制御することが可能となる。
[更新処理]
次に、図7を参照して、本実施形態に係る更新装置10による更新処理について説明する。図7は、更新処理手順を示すフローチャートである。図7のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。
次に、図7を参照して、本実施形態に係る更新装置10による更新処理について説明する。図7は、更新処理手順を示すフローチャートである。図7のフローチャートは、例えば、ユーザが開始を指示する操作入力を行ったタイミングで開始される。
まず、特定部15aが、アクセス先ファイルとアクセス元ファイルとの組み合わせを指定する入力を受け付ける。また、特定部15aは、パッケージ管理情報14aを参照し、アクセス先ファイルが含まれるパッケージと、アクセス元ファイルが含まれるパッケージとを特定する。
そして、追加部15bは、特定されたアクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一か否かを確認する(ステップS1)。追加部15bは、特定されたアクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一である場合に(ステップS1,Yes)、指定された組み合わせをACL14bに追加する(ステップS6)。
一方、同一ではない場合には(ステップS1,No)、追加部15bは、特定されたファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが相互に依存関係があるか否かを確認する。まず、追加部15bは、特定されたアクセス先ファイルが含まれるパッケージが、アクセス元ファイルが含まれるパッケージの依存先であるか否かを確認する(ステップS2)。追加部15bは、アクセス先ファイルが含まれるパッケージが、アクセス元ファイルが含まれるパッケージの依存先である場合には(ステップS2,Yes)。指定された組み合わせをACL14bに追加する(ステップS6)。
一方、追加部15bは、アクセス先ファイルが含まれるパッケージがアクセス元ファイルが含まれるパッケージの依存先でない場合には(ステップS2,No)、アクセス元ファイルが含まれるパッケージが、アクセス先ファイルが含まれるパッケージの依存先であるか否かを確認する(ステップS3)。追加部15bは、アクセス元ファイルが含まれるパッケージが、アクセス先ファイルが含まれるパッケージの依存先である場合には(ステップS3,Yes)、指定された組み合わせをACL14bに追加する(ステップS6)。
なお、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合には(ステップS2でYes、ステップS3でYes)、指定された組み合わせのACL14bへの追加に変えて、追加の可否の指示を受け付けてもよい。つまり、追加部15bは、指定された組み合わせが、アクセス制御の方針に反していないかを照会するよう警告を出力したり、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、運用方針に従って一律にACL14bへの追加を拒否するようにしてもよい。
一方、追加部15bは、アクセス元ファイルが含まれるパッケージが、アクセス先ファイルが含まれるパッケージの依存先でない場合には(ステップS3,No)、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが、他のパッケージを介して依存関係がないかを確認する。
まず、追加部15bは、アクセス元ファイルの依存先のパッケージを辿ってアクセス先ファイルのパッケージに辿り着くか否かを確認する(ステップS4)。追加部15bは、アクセス元ファイルの依存先のパッケージを辿ってアクセス先ファイルのパッケージに辿り着く場合には(ステップS4,Yes)、ソフトウェアのパッケージ開発者の想定しないアクセスとして、指定された組み合わせのACL14bへの追加を行わない(ステップS7)。
一方、追加部15bは、アクセス元ファイルの依存先のパッケージを辿ってアクセス先ファイルのパッケージに辿り着かない場合には(ステップS4,No)、アクセス先ファイルの依存先のパッケージを辿ってアクセス元ファイルのパッケージに辿り着くか否かを確認する(ステップS5)。追加部15bは、アクセス先ファイルの依存先のパッケージを辿ってアクセス元ファイルのパッケージに辿り着く場合には(ステップS5,Yes)、ソフトウェアのパッケージ開発者の想定しないアクセスとして、指定された組み合わせのACL14bへの追加を行わない(ステップS7)。
一方、追加部15bは、アクセス先ファイルの依存先のパッケージを辿ってアクセス元ファイルのパッケージに辿り着かない場合には(ステップS5,No)、独立したパッケージ間のアクセス制御ポリシとして、指定された組み合わせをACL14bに追加する(ステップS8)。また、追加部15bは、運用者に判断を委ねるための警告を出力する。
例えば、追加部15bは、この組み合わせがアクセス制御の方針に反していないかを照会するよう警告を出力する。また、追加部15bは、運用者にACL14bへの追加の可否の承認を要求したりしてもよい。あるいは、追加部15bは、この組み合わせについては、一律にACL14bへの追加を拒否するようにしてもよい。
また、ステップS7の処理において、一律に追加を拒否する代わりに、運用者にACL14bへの追加の可否の承認を要求してもよい。あるいは、一律に追加して、運用者に判断を委ねる警告を出力するようにしてもよい。これにより、パッケージ管理情報の定義の省略あるいは定義もれである場合には、ACL14bへの追加を行うようにすることができるようになる。
以上により、一連の更新処理が終了する。その結果、更新装置10は、少なくとも不適切なアクセス制御ポリシの追加を制限してACL14bを更新することができる。したがって、ACL14bのセキュリティレベルの緩和を最小限に留めることが可能となる。
以上、説明したように、本実施形態の更新装置10において、記憶部14が、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報14aと、アクセス先ファイルと該アクセス先ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むACL14bと、を記憶する。また、特定部15aが、アクセス先ファイルとアクセス元ファイルとの組み合わせが指定された場合に、パッケージ管理情報14aを参照し、アクセス先ファイルが含まれるパッケージと、アクセス元ファイルが含まれるパッケージとを特定する。また、追加部15bが、特定されたアクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された組み合わせをACL14bに追加する。
このように、更新装置10は、ソフトウェアのパッケージ開発者の想定した依存関係がある組み合わせのアクセスであることを条件に、ACL14bに追加することにより、少なくとも不適切なアクセス制御ポリシの追加を制限してACL14bを更新することができる。したがって、ACL14bのセキュリティレベルの緩和を最小限に留めることが可能となる。このように、更新装置10は、ACLを適切に設定することが可能となる。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、さらに警告を出力してもよい。または、追加部15bは、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。これにより、ACL14bへの追加の可否を運用者の判断に委ねることが可能となる。
また、追加部15bは、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された組み合わせをACL14bに追加する。
これにより、独立したパッケージ間のアクセス制御ポリシであって、必要なファイル間アクセスである可能性がある、独立したパッケージ間のアクセス制御ポリシをACL14bに追加することができる。
その際に、追加部15bは、さらに警告を出力する。あるいは、追加部15bは、指定された組み合わせのACL14bへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けてもよい。これにより、ACL14bへの追加の可否を運用者の判断に委ねることが可能となる。
また、これにより、追加部15bは、上記以外の、アクセス先ファイルが含まれるパッケージとアクセス元ファイルが含まれるパッケージとが他のパッケージを介して依存関係がある組み合わせのACL14bへの追加を制限することができる。つまり、パッケージ間に相互に直接の依存関係がない、ソフトウェアのパッケージ開発者が想定しないアクセスである可能性が高い不要なアクセスのACL14bへの追加を制限することができる。
[プログラム]
上記実施形態に係る更新装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、更新装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の更新処理を実行する更新プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の更新プログラムを情報処理装置に実行させることにより、情報処理装置を更新装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、更新装置10の機能を、クラウドサーバに実装してもよい。
上記実施形態に係る更新装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、更新装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の更新処理を実行する更新プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の更新プログラムを情報処理装置に実行させることにより、情報処理装置を更新装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、更新装置10の機能を、クラウドサーバに実装してもよい。
図8は、更新プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、更新プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した更新装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、更新プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、更新プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、更新プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 更新装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a パッケージ管理情報
14b アクセス制御リスト(ACL)
15 制御部
15a 特定部
15b 追加部
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a パッケージ管理情報
14b アクセス制御リスト(ACL)
15 制御部
15a 特定部
15b 追加部
Claims (7)
- ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報と、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むアクセス制御リストと、を記憶する記憶部と、
ファイルとアクセス元ファイルとの組み合わせが指定された場合に、前記パッケージ管理情報を参照し、前記ファイルが含まれるパッケージと、前記アクセス元ファイルが含まれるパッケージとを特定する特定部と、
特定された前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された前記組み合わせを前記アクセス制御リストに追加する追加部と、
を備えることを特徴とする更新装置。 - 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、さらに警告を出力することを特徴とする請求項1に記載の更新装置。
- 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がある場合に、指定された前記組み合わせの前記アクセス制御リストへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けることを特徴とする請求項1に記載の更新装置。
- 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された前記組み合わせを前記アクセス制御リストに追加することを特徴とする請求項1に記載の更新装置。
- 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、さらに警告を出力することを特徴とする請求項4に記載の更新装置。
- 前記追加部は、前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが異なり、かつ、相互に依存関係がなく、かつ、他のパッケージを介して依存関係がない場合に、指定された前記組み合わせの前記アクセス制御リストへの追加に変えて、追加を拒否、または追加の可否の指示を受け付けることを特徴とする請求項4に記載の更新装置。
- 更新装置で実行される更新方法であって、
前記更新装置は、ファイルと該ファイルを含むパッケージとの対応付けと、複数のパッケージ間の依存関係の有無を示す情報とを含むパッケージ管理情報と、ファイルと該ファイルへのアクセスが許可されているアクセス元ファイルとの対応付けを含むアクセス制御リストと、を記憶する記憶部を備え、
ファイルとアクセス元ファイルとの組み合わせが指定された場合に、前記パッケージ管理情報を参照し、前記ファイルが含まれるパッケージと、前記アクセス元ファイルが含まれるパッケージとを特定する特定工程と、
特定された前記ファイルが含まれるパッケージと前記アクセス元ファイルが含まれるパッケージとが同一、または相互に依存関係がある場合に、指定された前記組み合わせを前記アクセス制御リストに追加する追加工程と、
を含んだことを特徴とする更新方法。
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019003731A JP7040467B2 (ja) | 2019-01-11 | 2019-01-11 | 更新装置および更新方法 |
AU2019420941A AU2019420941B2 (en) | 2019-01-11 | 2019-12-20 | Update device and update method |
CN201980088321.2A CN113272808B (zh) | 2019-01-11 | 2019-12-20 | 更新装置及更新方法 |
US17/421,719 US11809580B2 (en) | 2019-01-11 | 2019-12-20 | Update device and update method |
EP19909433.5A EP3889814B1 (en) | 2019-01-11 | 2019-12-20 | Update device and update method |
PCT/JP2019/050224 WO2020145100A1 (ja) | 2019-01-11 | 2019-12-20 | 更新装置および更新方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019003731A JP7040467B2 (ja) | 2019-01-11 | 2019-01-11 | 更新装置および更新方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020113072A JP2020113072A (ja) | 2020-07-27 |
JP7040467B2 true JP7040467B2 (ja) | 2022-03-23 |
Family
ID=71520335
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019003731A Active JP7040467B2 (ja) | 2019-01-11 | 2019-01-11 | 更新装置および更新方法 |
Country Status (6)
Country | Link |
---|---|
US (1) | US11809580B2 (ja) |
EP (1) | EP3889814B1 (ja) |
JP (1) | JP7040467B2 (ja) |
CN (1) | CN113272808B (ja) |
AU (1) | AU2019420941B2 (ja) |
WO (1) | WO2020145100A1 (ja) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5761669A (en) | 1995-06-06 | 1998-06-02 | Microsoft Corporation | Controlling access to objects on multiple operating systems |
US20130262716A1 (en) | 2012-03-28 | 2013-10-03 | Fujitsu Limited | Information processing apparatus and control method |
US20150178495A1 (en) | 2011-09-09 | 2015-06-25 | Microsoft Technology Licensing, Llc | Pervasive Package Identifiers |
US20180268156A1 (en) | 2017-03-20 | 2018-09-20 | Zhigang Luo | Methods and apparatus for containerized secure computing resources |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002278839A (ja) * | 2001-03-15 | 2002-09-27 | Sony Corp | データアクセス管理システム、メモリ搭載デバイス、およびデータアクセス管理方法、並びにプログラム記憶媒体 |
US7962918B2 (en) * | 2004-08-03 | 2011-06-14 | Microsoft Corporation | System and method for controlling inter-application association through contextual policy control |
JP2008021247A (ja) * | 2006-07-14 | 2008-01-31 | Nec Software Kyushu Ltd | 情報処理装置、ファイルアクセス制御方法、及びプログラム |
US8950007B1 (en) * | 2008-04-07 | 2015-02-03 | Lumension Security, Inc. | Policy-based whitelisting with system change management based on trust framework |
US8533844B2 (en) * | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
US8788655B2 (en) * | 2008-12-19 | 2014-07-22 | Openpeak Inc. | Systems for accepting and approving applications and methods of operation of same |
CN101615236B (zh) * | 2009-07-24 | 2011-07-20 | 北京工业大学 | 一种基于强制访问控制技术的可信应用环境构建方法 |
US20140032733A1 (en) * | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
US9454670B2 (en) * | 2012-12-03 | 2016-09-27 | International Business Machines Corporation | Hybrid file systems |
JP5750497B2 (ja) * | 2013-12-11 | 2015-07-22 | 株式会社アイキュエス | アクセス制御装置、プログラム及びアクセス制御システム |
US9513941B2 (en) * | 2014-09-17 | 2016-12-06 | International Business Machines Corporation | Codeless generation of APIs |
CN106796635B (zh) * | 2014-10-14 | 2019-10-22 | 日本电信电话株式会社 | 确定装置、确定方法 |
JP6529304B2 (ja) * | 2015-03-25 | 2019-06-12 | 株式会社日立ソリューションズ | アクセス制御システム及びアクセス制御方法 |
US10270778B2 (en) * | 2016-03-21 | 2019-04-23 | Google Llc | Methods and systems for dynamic creation of access control lists |
CN108108633B (zh) * | 2017-12-20 | 2021-07-13 | 中国科学院深圳先进技术研究院 | 一种数据文件及其访问方法、装置及设备 |
-
2019
- 2019-01-11 JP JP2019003731A patent/JP7040467B2/ja active Active
- 2019-12-20 WO PCT/JP2019/050224 patent/WO2020145100A1/ja unknown
- 2019-12-20 US US17/421,719 patent/US11809580B2/en active Active
- 2019-12-20 AU AU2019420941A patent/AU2019420941B2/en active Active
- 2019-12-20 CN CN201980088321.2A patent/CN113272808B/zh active Active
- 2019-12-20 EP EP19909433.5A patent/EP3889814B1/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5761669A (en) | 1995-06-06 | 1998-06-02 | Microsoft Corporation | Controlling access to objects on multiple operating systems |
US20150178495A1 (en) | 2011-09-09 | 2015-06-25 | Microsoft Technology Licensing, Llc | Pervasive Package Identifiers |
US20130262716A1 (en) | 2012-03-28 | 2013-10-03 | Fujitsu Limited | Information processing apparatus and control method |
JP2013206173A (ja) | 2012-03-28 | 2013-10-07 | Fujitsu Ltd | 情報処理装置、制御方法及び制御プログラム |
US20180268156A1 (en) | 2017-03-20 | 2018-09-20 | Zhigang Luo | Methods and apparatus for containerized secure computing resources |
WO2018171171A1 (en) | 2017-03-20 | 2018-09-27 | Huawei Technologies Co., Ltd. | Methods and apparatus for containerized secure computing resources |
Also Published As
Publication number | Publication date |
---|---|
US11809580B2 (en) | 2023-11-07 |
AU2019420941B2 (en) | 2023-06-08 |
WO2020145100A1 (ja) | 2020-07-16 |
AU2019420941A1 (en) | 2021-07-22 |
EP3889814B1 (en) | 2023-04-19 |
CN113272808A (zh) | 2021-08-17 |
EP3889814A4 (en) | 2022-08-17 |
CN113272808B (zh) | 2024-01-30 |
US20220092195A1 (en) | 2022-03-24 |
JP2020113072A (ja) | 2020-07-27 |
EP3889814A1 (en) | 2021-10-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI420338B (zh) | 安全之瀏覽器基礎應用程式 | |
US7516477B2 (en) | Method and system for ensuring that computer programs are trustworthy | |
US9390241B2 (en) | Method for executing an application in a restricted operating environment | |
US7792964B2 (en) | Running internet applications with low rights | |
US8646044B2 (en) | Mandatory integrity control | |
JP2009522694A (ja) | オブジェクトへのユーザアクセスの管理 | |
US11797704B2 (en) | Managing privilege delegation on a computer device | |
US11165780B2 (en) | Systems and methods to secure publicly-hosted cloud applications to run only within the context of a trusted client application | |
JP2006107505A (ja) | アクセス認可のapi | |
JP2018124893A (ja) | 計算機システム及びファイルアクセスコントロール方法 | |
JP2004303242A (ja) | 高信頼性コンピューティングシステムにおけるセキュリティ属性 | |
KR20170059447A (ko) | 신뢰가능 플랫폼 모듈에서의 운영 체제 컨텍스트 표현 기법 | |
US11301228B2 (en) | Managing removal and modification of installed programs on a computer device | |
JP7040467B2 (ja) | 更新装置および更新方法 | |
CN117807568B (zh) | 基于Linux操作系统的安装权限控制方法、装置、电子设备及存储介质 | |
US11855996B1 (en) | Systems and methods for controlling access | |
CN117807568A (zh) | 基于Linux操作系统的安装权限控制方法、装置、电子设备及存储介质 | |
CN112784263A (zh) | 位元锁磁盘处理程序管理系统与方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210414 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220208 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220221 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7040467 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |