WO2022270385A1

WO2022270385A1 - プログラム、情報処理装置、方法

Info

Publication number: WO2022270385A1
Application number: PCT/JP2022/024004
Authority: WO
Inventors: 範崇飯嶋; 勉中島; 浩二大西
Original assignee: デジタル・インフォメーション・テクノロジー株式会社
Priority date: 2021-06-22
Filing date: 2022-06-15
Publication date: 2022-12-29
Also published as: EP4361860A1; US20240134720A1; JPWO2022270385A1; JP7489548B2

Abstract

プロセッサ（１１）を含む情報処理装置（１０）であって、当該プログラムは、当該プロセッサに、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、当該パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから第１システムコール関数を呼び出し、第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、当該パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、監視対象のものである場合、第１システムコール関数は呼び出さず、第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行する情報処理装置。

Description

プログラム、情報処理装置、方法

　本開示は、プログラム、情報処理装置、方法に関する。

　従来から、仮想環境におけるセキュリティ対策技術が求められている。「プロセッサとメモリを有する物理計算機上で稼働する仮想計算機でマルウェアを解析する記憶媒体であって、前記仮想計算機のゲストＯＳ上で稼働する解析部が、前記マルウェアから前記ゲストＯＳに対する要求を取得する第１のステップと、前記解析部が、前記マルウェアからの前記要求に仮想化環境に関連する要求が含まれている場合には、当該要求に対して偽装応答を前記マルウェアに対して行う第２のステップと、を含む」技術がある（特許文献１）。

　また、「セキュリティシステム」は、「セキュリティ仮想マシンの命令セット内で表現されたセキュリティプログラムを実行するセキュリティ仮想マシン」を「提供する。セキュリティシステム」は、「セキュリティプログラムをセキュリティ仮想マシン」の「命令ストア」に「格納する。セキュリティ実施イベントが発生するとき、セキュリティ仮想マシン」は、「セキュリティ実施イベントのデータを使用してその命令ストア」の「命令を実行し、セキュリティポリシーを実施する」という技術がある（特許文献２）。

特開２０１８－０８１５１４号公報特開２００５－３１６９６４号公報

　しかし、特許文献１の技術をコンテナ型仮想化環境に適用すると、コンテナイメージ使用前については、各コンテナのセキュリティ対策ができると考えられる。しかし、コンテナイメージをコンテナホストに展開後、及びコンテナイメージを元にコンテナが生成されてコンテナが稼働中においては、共通のＯＳを用いているため、各コンテナのコンテナイメージに対するセキュリティ対策をすることができない、という問題がある。

　また、特許文献２の技術をコンテナ型仮想化環境に適用すると、セキュリティ仮想マシンにより、システムコールをシミュレーションするが、シミュレーションを実行すると、処理負荷がかかってしまい、システム資源の負担を小さくすることができる、というコンテナ型仮想化のメリットを損なうことになってしまう。

　そこで、本開示において、稼働中のコンテナイメージを保護することができる技術を提供する。

　一実施形態によると、プロセッサを備えるコンピュータを動作させるためのプログラムであって、前記プログラムは、前記プロセッサに、コンテナ型仮想化環境において、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップと、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップと、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記システムコールによる処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップと、を実行させる。

　本開示によれば、稼働中のコンテナイメージを保護することができる。

情報処理システム１の構成を示す図である。情報処理装置１０のブロック図である。従来のシステムコールの流れの例を示す図である。従来のシステムコールの流れの例を示す図である。本開示のシステムコールの処理を示す図である。監視対象のコンテナを選択する画面の例を示す図である。情報処理装置１０の監視指示処理を示すフローチャートである。情報処理装置１０の監視処理を示すフローチャートである。情報処理装置１０の監視対象指定処理を示すフローチャートである。コンテナホスト内のコンテナの動作イメージの例を示す図である。コンテナホスト内のイメージが削除された場合の例を示す図である。コンテナホスト内のイメージが改ざんされた場合の例を示す図である。情報処理システム２の構成を示す図である。情報処理装置５０のブロック図である。情報処理装置５０の監視処理を示すフローチャートである。

　以下、図面を参照しつつ、本開示の実施形態について説明する。以下の説明では、同一の部品には同一の符号を付してある。それらの名称及び機能も同じである。従って、それらについての詳細な説明は繰り返さない。

＜第１の実施形態＞
（本開示の概要）
　本開示は、コンテナ型仮想化環境において、システムコールによるシステムコール関数を呼び出した際のパラメータを監視し、コンテナイメージを保護するプログラム、情報処理装置、及び方法について説明する。

　コンテナホスト上のコンテナ型仮想化環境が安定して稼働する為には、コンテナホスト上に配置されたコンテナイメージのディレクトリ、ファイルに対する削除や、上書きによる改ざんから保護する必要がある。同時に、コンテナ関連のアプリケーションが保持している設定情報に齟齬が発生しないよう、コンテナイメージのディレクトリパス、ディレクトリ名、ファイル名の変更等からも保護する必要がある。これらの保護を行う為に、コンテナ型仮想化環境が従来の仮想マシンと異なりコンテナホストのカーネルを共有して動作するという点から見て、本開示では、コンテナホストのカーネルのシステムコールを監視する。本開示は、プロセッサが、コンテナイメージの同一性に影響を与えうるシステムコールの呼び出し対象を、システムコールテーブルの情報を別途用意した第２システムコール関数が呼び出されるように書き換えることによって、第２システムコール関数内でパラメータを取得する。そして、プロセッサが、パラメータが示す処理の対象が監視対象であるか否かの判定をおこない、監視対象でない場合は、第２システムコール関数内で本来呼び出されるシステムコール関数である第１システムコール関数を呼び出し、その処理結果を返す。一方、プロセッサは、パラメータが示す処理の対象が監視対象であった場合は、第２システムコール関数内で本来のシステムコールの処理を無効化する。すなわち、本開示は、コンテナイメージの同一性に影響を与える監視対象に対してのシステムコールのみを無効化する。無効化は、例えば、システムコールに対して、何も処理しない、エラーを返す等により行う。

＜１．情報処理システム１の構成＞
　図１及び図２を用いて、本開示に係る情報処理システム１について説明する。

　図１は、情報処理システム１の構成を示す図である。情報処理システム１は、情報処理装置１０と、管理者端末２０と、ネットワーク３０とを備える。

　情報処理装置１０は、例えば、ラップトップパソコン又はラックマウント型若しくはタワー型等のコンピュータ等である。情報処理装置１０は、複数の情報処理装置１０等により構成されてもよい。

　情報処理装置１０は、プロセッサ１１と、メモリ１２と、ストレージ１３と、通信ＩＦ１４と、入出力ＩＦ１５とを含んで構成される。

　プロセッサ１１は、プログラムに記述された命令セットを実行するためのハードウェアであり、演算装置、レジスタ、周辺回路などにより構成される。

　メモリ１２は、プログラム、及び、プログラム等で処理されるデータ等を一時的に記憶するためのものであり、例えばＤＲＡＭ（Dynamic Random Access Memory）等の揮発性のメモリである。

　ストレージ１３は、データを保存するための記憶装置であり、例えばフラッシュメモリ、ＨＤＤ（Hard Disc Drive）、ＳＳＤ（Solid State Drive）である。

　通信ＩＦ１４は、情報処理装置１０が外部の装置と通信するため、信号を入出力するためのインターフェースである。通信ＩＦ１４は、インターネット、広域イーサネット等のネットワーク３０に有線又は無線により接続する。

　入出力ＩＦ１５は、入力操作を受け付けるための入力装置（例えば、マウス等のポインティングデバイス、キーボード）、及び、情報を提示するための出力装置（ディスプレイ、スピーカ等）とのインターフェースとして機能する。

　管理者端末２０は、情報処理装置１０で実行されるコンテナ型仮想化環境を管理するユーザにより操作される情報処理装置である。管理者端末２０は、例えば、ラップトップパソコン又はラックマウント型若しくはタワー型等のコンピュータ等である。

　情報処理装置１０、及び管理者端末２０は、ネットワーク３０を介して相互に通信可能に構成される。

　図２は、情報処理装置１０の機能構成を示すブロック図である。図２に示すように、情報処理装置１０は、通信部１１０と、記憶部１２０と、制御部１３０とを含む。

　通信部１１０は、情報処理装置１０が外部の装置と通信するための処理を行う。

　記憶部１２０は、情報処理装置１０が使用するデータ及びプログラムを記憶する。記憶部１２０は、コンテナに関するデータ、システムコールテーブル、第１システムコール関数群、第２システムコール関数群等を記憶する。

　コンテナに関するデータは、情報処理装置１０がコンテナ型仮想化環境を実現するために必要なデータである。コンテナに関するデータは、コンテナイメージ、コンテナのデータ等である。

　システムコールテーブルは、システムにおいて、予め定められているシステムコールテーブルである。

　第１システムコール関数群は、システムにおいて、予め定められているシステムコール関数の集合である。第２システムコール関数群は、本開示において定義するシステムコール関数の集合である。詳細は後述する。

　制御部１３０は、情報処理装置１０のプロセッサ１１がプログラムに従って処理を行うことにより、受信制御部１３１、送信制御部１３２、コンテナ制御部１３３、監視指示部１３４、書き換え部１３５、取得部１３６、監視部１３７、及び表示部１３８に示す機能を発揮する。

　受信制御部１３１は、情報処理装置１０が外部の装置から通信プロトコルに従って信号を受信する処理を制御する。

　送信制御部１３２は、情報処理装置１０が外部の装置に対し通信プロトコルに従って信号を送信する処理を制御する。

　コンテナ制御部１３３は、コンテナ型仮想化環境を実現する。具体的には、コンテナ制御部１３３は、コンテナ生成信号を受信すると、記憶部１２０に格納されたコンテナイメージからコンテナを生成する。コンテナ制御部１３３は、例えばＤＯＣＫＥＲ（登録商標）等を用いて、コンテナ型仮想化環境を実現する。

　監視指示部１３４は、システムコールの監視を開始及び終了する指示を各部に行う。

　監視の開始のタイミングは、任意のタイミングを採用することができる。監視は、遅くともコンテナが生成されたタイミングで開始されている方が、コンテナイメージの保護を図ることができる。このため、監視の開始のタイミングは、コンテナホストが起動したとき、コンテナ制御部１３３によりコンテナホスト上に配置されたコンテナイメージに基づいてコンテナホスト上にコンテナが最初に生成されたとき等が好ましい。なお、監視の開始及び終了のタイミングは、人手による指示を受け付ける、定期とする等としてもよく、また、常時行うこととしてもよい。

　また、監視指示部１３４は、監視の終了を、監視終了の指示があったタイミング、コンテナが全て削除されたタイミング等に行う。

　書き換え部１３５は、呼び出し対象のシステムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象である場合に、システムコール関数による処理が正常に実行した場合のような結果又はエラーとする結果を返す第２システムコール関数を読み込ませるように、システムコールテーブルを書き換える。具体的には、書き換え部１３５は、システムコールテーブルの監視対象の第１システムコール関数のアドレスを、第２システムコール関数のアドレスに書き換える。なお、第２システムコール関数には、対応する第１システムコール関数のアドレスが含まれるように構成する。第２システムコール関数において、パラメータをチェックした場合、安全であれば元の第１システムコール関数を呼び出して処理するためである。また、書き換え部１３５は、第１システムコール関数を、第２システムコール関数に置き換える構成としてもよい。

　監視対象は、システムコール関数を呼び出すプロセスの処理の内容と、プロセスの処理の対象ファイル及び対象ディレクトリの少なくとも何れかとの組み合わせとして予め定義される。監視対象は、例えば、下記（１）～（１４）のディレクトリ、ファイルと処理との組み合わせの少なくとも何れかである。
（１）コンテナイメージが格納されているディレクトリ配下のファイルの削除
（２）コンテナイメージが格納されているディレクトリの削除
（３）コンテナイメージが格納されているディレクトリ配下のファイルへの書込みモードでのオープン
（４）コンテナイメージが格納されているディレクトリ配下のファイルの移動
（５）コンテナイメージが格納されているディレクトリの移動
（６）コンテナイメージが格納されているディレクトリ配下のファイル名の変更
（７）コンテナイメージが格納されているディレクトリ名の変更
（８）コンテナイメージが格納されているディレクトリへのハードリンク
（９）コンテナイメージが格納されているディレクトリ配下のファイルへのハードリンク
（１０）コンテナイメージが格納されているディレクトリ配下へのディレクトリの追加
（１１）コンテナイメージが格納されているディレクトリへのシンボリックリンク
（１２）コンテナイメージが格納されているディレクトリ配下のファイルへのシンボリックリンク
（１３）コンテナイメージが格納されているディレクトリの属性変更
（１４）コンテナイメージが格納されているディレクトリ配下のファイルへの属性変更
（１５）コンテナイメージが格納されているディレクトリ及び配下を含むディレクトリパス上への他ファイルシステムのマウント
（１６）コンテナイメージが格納されているファイルシステムのアンマウント

　ディレクトリ等に対する処理に、ハードリンクが含む理由は、コンテナイメージが格納されているディレクトリ配下以外に、ハードリンク経由でディレクトリ、ファイル等に対する改ざんが行われることを防ぐためである。

　また、書き換え部１３５は、カーネルが読み込まれたタイミング、監視指示部１３４により監視開始指示があった場合等に、システムコールテーブルを書き換える。また、書き換え部１３５は、監視指示部１３４により監視終了指示があった場合に、書き換えたシステムコールテーブルを戻す。

　取得部１３６は、システムコールによる第１システムコール関数が呼び出される際のパラメータを取得する。具体的には、取得部１３６は、第１システムコール関数が呼び出される際のパラメータとして、当該システムコール関数が扱う対象及び処理を取得する。

　監視部１３７は、呼び出し対象の第１システムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象のものであるか否かを判定する。具体的には、監視部１３７は、まず、呼び出し対象のシステムコール関数を書き替えられたシステムコールテーブルを参照することで呼び出す。書き換えられていないシステムコール関数である場合、第１システムコール関数が、システムコールテーブルにより呼び出される。監視部１３７は、当該第１システムコール関数を実行させ、処理結果を返す。

　アドレスが書き換えられている場合、監視部１３７は、第２システムコール関数を呼び出すこととなる。監視部１３７は、呼び出したシステムコール関数が第２システムコール関数である場合、取得部１３６が取得したパラメータを用いて、監視対象であるか否かを判定する。具体的には、監視部１３７は、当該パラメータが、上記ディレクトリ、ファイルに対する所定の処理であるか否かを判定する。

　監視部１３７は、当該パラメータが、監視対象であると判定した場合、第２システムコール関数に、第２システムコール関数による結果を返す。一方、監視部１３７は、当該パラメータが、監視対象でないと判定した場合、実際の第１システムコール関数を呼び出す。この場合、監視部１３７は、第１システムコール関数を実行させ、処理結果を返す。

　なお、第２システムコール関数が、当該パラメータが、上記ディレクトリ、ファイルに対する所定の処理であるか否かを判定する機能を有していてもよい。この場合、第２システムコール関数は、判定結果が監視対象であれば、実際の第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返す。また、この場合、第２システムコール関数は、判定結果が監視対象でなければ、実際の第１システムコール関数を呼び出して処理を実行し、処理結果を返す。

　図３及び図４は、従来のシステムコールの流れの例を示す図である。図３及び図４の例は、ｘ８６＿６４アーキテクチャの場合である。ユーザプロセス（図３のＵｓｅｒＰｒｏｃｅｓｓ）がｒｅｎａｍｅという処理要求を出した場合、共有ライブラリ（図３のｇｌｉｂｃ）を経由して、システムコールを実行するためのソフトウェア割り込みが生成される。カーネルは、割り込みディスクリプタテーブル（図４のＩｎｔｅｒｒｕｐｔ　Ｄｅｓｃｒｉｐｔｏｒ　Ｔａｂｌｅ）からシステムコールハンドラ（図４のＳｙｓｔｅｍ　Ｃａｌｌ　Ｈａｎｄｌｅｒ）が呼び出す。カーネルは、システムコールハンドラ内でシステムコール番号をもとにシステムコールテーブル（図４のＳｙｓｔｅｍ　Ｃａｌｌ　Ｔａｂｌｅ）から各システムコール関数を呼び出して実行する。つまり、全てのシステムコール関数は、システムコールテーブルを経由して呼び出される。

　本開示は、上記の監視のために、第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする結果を返す第２システムコール関数を用意する。書き換え部１３５は、監視指示部１３４から監視の開始の指示を受け付けると、システムコールテーブルの監視対象の第１システムコール関数のアドレスを、第２システムコール関数のアドレスに書き換える。

　図５は、本開示のシステムコールの処理を示す図である。図５に示すように、システムコールテーブル書き換えることにより、第２システムコール関数（図５のＫｅｒｎｅｌ　Ｍｏｄｕｌｅ内のシステムコール関数）が呼び出されるように構成される。

　このようにシステムコールテーブルの監視対象の第１システムコール関数のアドレスを、第２システムコール関数のアドレスに書き換えることで、上記ディレクトリ、ファイルに対する所定の処理を実行する実際の第１システムコール関数は呼び出さず、第２システムコール関数が呼び出されることとなる。第２システムコール関数は、正常に実行したような結果又はエラーを返すが、実際の第１システムコール関数の処理は実行しない。このため、コンテナホスト側からであっても、悪意あるホスト側からあっても、上記ディレクトリ、ファイルに対する改ざん等を防ぐことができ、コンテナイメージを保護することができる。なお、監視対象の第１システムコール関数が、上記ディレクトリ、ファイルに対する所定の処理を実行しない場合には、実際の第１システムコール関数を間接的に呼び出すように設定する。

　表示部１３８は、コンテナ型仮想化環境における複数のコンテナイメージのうち、少なくとも１のコンテナイメージの指定及び指定の解除を受け付けるための画面を表示する。具体的には、表示部１３８は、コンテナイメージの指定を受け付ける画面を表示する。指定されたコンテナイメージは、取得部１３６が取得するパラメータ、監視部１３７が判定する対象のコンテナイメージとなる。表示部１３８は、例えば、当該画面を、管理者端末２０に表示させる。

　図６は、監視対象のコンテナを選択する画面の例を示す図である。画面２２０は、コンテナイメージボタン２２２～２２４、監視開始ボタン２２６、監視終了ボタン２２７を含む。

　コンテナイメージボタン２２２～２２４は、コンテナイメージの指定を受け付けるためのボタンである。また、コンテナイメージボタン２２２～２２４は、コンテナイメージが示すコンテナの状態を表示する。コンテナイメージボタンが白抜きの場合、当該コンテナイメージボタンが示すコンテナイメージのコンテナが生成されていることを示す。コンテナイメージボタンが塗りつぶされている場合、当該コンテナイメージボタンが示すコンテナイメージのコンテナが生成されていないことを示す。また、コンテナイメージボタンが網掛けとなっている場合、当該コンテナイメージボタンが示すコンテナイメージが監視対象となっていることを示す。コンテナイメージボタンが押下されると、コンテナイメージボタンが示すコンテナイメージが指定される。

　監視開始ボタン２２６は、指定されたコンテナイメージについて監視を開始するためのボタンである。具体的には、監視開始ボタン２２６が押下されると、監視指示部１３４に、現在押下されているコンテナイメージボタン２２２～２２４のコンテナイメージの監視を開始させる。

　監視終了ボタン２２７は、指定されたコンテナイメージについて監視を終了するためのボタンである。具体的には、監視開始ボタン２２６が押下されると、監視指示部１３４に、現在押下されているコンテナイメージボタン２２２～２２４のコンテナイメージの監視を終了させる。

　コンテナ型仮想化環境は、コンテナイメージの入れ替え等が頻繁に発生する可能性を有する。このため、表示部１３８が、画面２２０のようなインターフェースを表示することにより、ユーザが適宜明示的に指示することを可能とする。

　なお、本開示のコンテナ型仮想化環境は、Ｋｕｂｅｒｎｅｔｅｓ（登録商標）等のコンテナオーケストレーションツールとのＡＰＩ連携を行い、コンテナホスト上の配置されたコンテナイメージの監視開始、監視解除を行う構成としてもよい。

＜２．動作＞
　以下では、情報処理装置１０における処理について図面を参照しながら説明する。

＜２．１．監視指示処理＞
　図７は、情報処理装置１０による監視指示処理を行う流れの一例を示すフローチャートである。情報処理装置１０は、当該処理を、情報処理装置１０にカーネルが読み込まれたタイミングで実行する。なお、監視の開始のタイミングは、コンテナホストが起動したとき、コンテナ制御部１３３によりコンテナホスト上に配置されたコンテナイメージに基づいてコンテナホスト上にコンテナが最初に生成されたとき等に、自動で開始する構成としてもよい。また、監視指示部１３４により監視開始指示があった場合に開始する構成としてもよい。

　ステップＳ１０１において、書き換え部１３５は、システムコールテーブルの監視対象の第１システムコール関数のアドレスを、第２システムコール関数のアドレスに書き換える。

　ステップＳ１０２において、監視指示部１３４は、システムコールの監視を開始する

　ステップＳ１０３において、プロセッサ１１は、監視終了の指示があったか否かを判定する。

　監視終了の指示が無かった場合（上記ステップＳ１０３のＮ）、ステップＳ１０４において、監視指示部１３４は、稼働中のコンテナが有るか否かを判定する。

　稼働中のコンテナがある場合（上記ステップＳ１０４のＮ）、ステップＳ１０３に戻り、監視指示部１３４は、終了指示があるまで監視を継続する。このとき、監視が中止されている場合、監視指示部１３４は、監視を再開する。

　一方、稼働中のコンテナがない場合（上記ステップＳ１０４のＹ）、ステップＳ１０５において、監視指示部１３４は、監視を中止させる。

　一方、監視終了の指示があった場合（上記ステップＳ１０３のＹ）、ステップＳ１０６において、監視指示部１３４は、システムコールの監視終了の指示を出す。

　ステップＳ１０７において、書き換え部１３５は、システムコールテーブルを元に戻し、処理を終了する。
＜２．２．監視処理＞
　図８は、情報処理装置１０による監視処理を行う流れの一例を示すフローチャートである。情報処理装置１０は、当該処理を、監視が開始されている状況において、書き換えられたシステムコールテーブルにより、第２システムコール関数が呼び出されたタイミングで実行する。なお、書き換えられていないシステムコール関数が呼び出される場合は、通常のシステムコール関数の呼び出し処理が行われる。

　ステップＳ１１１において、監視部１３７は、呼び出し対象のシステムコール関数を書き替えられたシステムコールテーブルを参照する。これにより、監視部１３７は、第２システムコール関数のアドレスを取得する。

　ステップＳ１１２において、監視部１３７は、呼び出し対象の第２システムコール関数を呼び出す。

　ステップＳ１１３において、監視部１３７は、システムコールによるシステムコール関数が呼び出される際のパラメータを取得する。

　ステップＳ１１４において、監視部１３７は、パラメータが、監視対象であるか否かを判定する。

　監視対象でない場合（上記ステップＳ１１４のＮ）、ステップＳ１１５において、監視部１３７は、第１システムコール関数を呼び出す。

　ステップＳ１１６において、監視部１３７は、呼び出した第１システムコール関数による処理を実行させる。

　ステップＳ１１７において、監視部１３７は、処理結果を返し、処理を終了する

　一方、監視対象である場合（上記ステップＳ１１４のＹ）、監視部１３７は、ステップ１１８において、第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返し、処理を終了する。

＜２．３．監視対象指定処理＞
　図９は、情報処理装置１０の監視対象指定処理を示すフローチャートである。情報処理装置１０は、当該処理を、任意のタイミングで実行する。

　ステップＳ１２１において、表示部１３８は、コンテナ型仮想化環境における複数のコンテナイメージのうち、少なくとも１のコンテナイメージの指定及び指定の解除を受け付けるための画面を表示する。

　ステップＳ１２２において、表示部１３８は、コンテナイメージの指定を受け付ける。

　ステップＳ１２３において、表示部１３８は、監視の開始又は終了を受け付ける。

　ステップＳ１２４において、表示部１３８は、監視指示部１３４に、現在指定されているコンテナイメージの監視を開始又は終了させ、処理を終了する。

＜３．小括＞
　以上説明したように、本開示によれば、コンテナ型仮想化環境において、システムコールによる第１システムコール関数が呼び出される際のパラメータを取得し、当該パラメータが示す、呼び出し対象の当該第１システムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象のものでない場合、カーネルから当該第１システムコール関数を呼び出し、当該第１システムコール関数の処理結果を返し、当該パラメータが示す、呼び出し対象の当該第１システムコール関数における処理の対象が、当該監視対象のものである場合、当該第１システムコール関数は呼び出さず、当該システムコールによる処理が正常に実行した場合のような結果又はエラーとする処理結果を返すことにより、稼働中のコンテナイメージを保護することができる。

　コンテナ型仮想化環境は、従来のサーバ仮想化環境のようにＯＳ全体を仮想化して起動する場合と比較して、起動が非常に早く、使用するホストＯＳのリソースも少ないという利点がある。コンテナ型仮想化環境のセキュリティ対策は、従来のセキュリティ対策で対応しきれないことが多いことが指摘されている（例えば、ＮＩＳＴ（米国国立標準技術研究所）のセキュリティ対策のアプリケーションコンテナセキュリティガイド（Ｓｐｅｃｉａｌ　Ｐｕｂｌｉｃａｔｉｏｎ　８００－１９０））。例えば、現在のコンテナのセキュリティ対策は、コンテナの監視を重視し、異常が検知された場合に、コンテナを切り離す等の対策をしている。このようなセキュリティ対策は、コンテナの機能、搭載するアプリケーションにより、定義、管理、更新等を行う必要があるため、非常に高負荷であり、定義漏れによる誤検知、不検知が起こり得る。

　これに対し、監視ソフトが、コンテナの生成元であるコンテナイメージを、コンテナのセキュリティ対策として採用することが考えられる。例えば、監視ソフトが、コンテナイメージを使用する前に、脆弱性のスキャンをする、コンテナイメージに電子署名を付与する等しておき、コンテナイメージを使用する前に改ざん等されていないかをチェックする方法がある。しかし、コンテナイメージをコンテナホストに展開後、及びコンテナイメージを元にコンテナが生成されてコンテナが稼働中には、共通のＯＳを用いているため、各コンテナのコンテナイメージに対するセキュリティ対策をすることができない。

　図１１は、コンテナホスト内のコンテナの動作イメージの例を示す図である。図１のように、コンテナホスト１０００上のファイルシステムに展開されるコンテナイメージ１０１０（イメージレイヤ）の中には、コンテナが実行に必要なファイルシステム及びメタ情報が格納されている。当該ファイルシステムは、ルートディレクトリ配下の／ｅｔｃ、／ｂｉｎ、／ｕｓｒ等のＯＳに該当する部分と、コンテナが使用するアプリケーション等のディレクトリ階層及びファイルとを格納している。

　図１１に示すように、各コンテナは、生成元であるコンテナイメージ１０１０の大部分に、ＯＳに該当する部分、アプリケーション部分等を使用して、コンテナホスト上で動作する。コンテナ側は、コンテナイメージの情報を読み取ることしかできず、書き換え等をすることができない。しかし、コンテナホスト側から見ると、コンテナイメージは、ＯＳ上のただのディレクトリ、ファイル群などであり、コンテナホストがコンテナイメージに対して追加／変更／削除を行うことが可能である。

　図１２は、コンテナホスト内のイメージが削除された場合の例を示す図である。コンテナホスト側から、コンテナイメージが削除された場合、コンテナ側で保持しているメタ情報の参照先が無い為、一瞬にして全コンテナは動作不可に陥る。

　コンテナ側で保持しているコンテナイメージのメタ情報に格納されているコンテナイメージ側の参照先のデータ（データブロック等）が存在しない為、削除されたイメージから生成されているコンテナは、削除されたタイミングで一斉に停止（動作できなくなる）してしまう。また、部分的に削除された場合は、コンテナの動作に影響が出る（挙動がおかしくなる）可能性がある。

　図１３は、コンテナホスト内のイメージが改ざんされた場合の例を示す図である。コンテナイメージの改ざんを、コンテナ側で保持しているメタ情報の参照先が変わらないように、つまり上書きでコンテナイメージのファイルに対して改ざんを行った場合、コンテナ側がその当該ファイルを読み込んだタイミングで、停止し、又は動作が変わってしまう可能性がある。コンテナ側で保持しているコンテナイメージのメタ情報に格納されているコンテナイメージ側の参照先のデータ（データブロック等）が存在しない為、削除されたイメージから生成されているコンテナは、削除されたタイミングで一斉に停止（動作できなくなる）してしまう。また、部分的に削除された場合は、コンテナの動作に影響が出る（挙動がおかしくなる）可能性がある。

　上記ガイドラインには、
　・マルウェア等の混入していない信頼できるコンテナイメージを使用する事、
　・コンテナが動作するコンテナホストは、必要最低限の機能を持たせて不要な機能を持たせない事、
　・前述のコンテナイメージへの削除や改ざんが行えないように　ＳＥＬｉｎｕｘ　やＡｐｐＡｒｍｏｒ　等のコンテナイメージへのアクセス制御を行う事、
　等が記載されている。

　ＳＥＬｉｎｕｘの場合、拡張属性によるアクセス制御を行っている関係上、動的で且つ柔軟な設定を行う事が難しく、仮にアクセス制御を行っている拡張属性を変更されても変更を検知する方法がない。また、ＡｐｐＡｒｍｏｒ等の場合は、設定したプログラムからのアクセス制御を行う事はできるが、設定を行っていないプログラムに対するアクセス制御は行う事ができない。

　以上の事、及びガイドラインにも記載されている通り、時間の経過とともにコンテナホスト本体の脆弱性のリスクから逃れられない場合、本開示の技術により、コンテナの元となっているコンテナホスト上のコンテナイメージを確実に保護することで、コンテナに対する十分なセキュリティ対策を実現することができる。

＜第２の実施形態＞
（第２の実施形態の概要）
　上記第１の実施形態において、本開示の技術は、稼働中のコンテナイメージを保護することができることを説明した。第２の実施形態では、本開示の技術が、コンテナイメージ以外のデータの保護することができることを説明する。

　第２の実施形態において、本開示の技術は、システムコールによるシステムコール関数を呼び出した際のパラメータを監視し、保護対象のデータとして、コンテナイメージのバックアップに用いる差分データを保護するプログラム、情報処理装置、及び方法について説明する。

　コンテナ型仮想化環境では、ファイルシステムのファイルやディレクトリを透過的に重ねる技術（例えば、ＵｎｉｏｎＦＳなど）が用いられている。この場合、コンテナ型仮想化環境は、第１層、第２層、及び第３層のファイルシステムを有することができる。

　第１層は、コンテナイメージそのものを管理する層である。例えば、図１０における、イメージレイヤに相当する。第１の実施形態での保護の対象は、第１層で管理されるコンテナイメージである。

　第２層は、コンテナイメージに対してされた操作によって、第１層のコンテナイメージと、当該コンテナイメージの現在のあるべき状態との差分データを管理する層である。例えば、図１０におけるコンテナレイヤに相当する。当該差分データは、バックアップに用いられるデータとして、任意のタイミングで記憶部などに格納される。

　第３層は、コンテナ内部から見えているファイルシステムである。具体的には、プロセスの権限に応じて、コンテナイメージに対する操作を行う。例えば、第３層のファイルシステムは、コンテナイメージを削除する権限を持つプロセスから、所定のコンテナイメージの削除命令が来ると、コンテナイメージが削除された旨を第２層のファイルシステムに渡す。すると、第２層のファイルシステムは、当該コンテナイメージが削除されたことを示す差分データを生成する。このとき、コンテナイメージは第１層において削除されない。第３層は、第１層と第２層の情報をマージすることにより、コンテナイメージを参照するプロセスに、現在のコンテナイメージを参照させる。

　従来、ランサムウェアにより、差分データなどの重要データが暗号化されることにより、正しいデータが復旧できないなどの問題が生じていた。本開示の技術は、このような差分データなどの重要データを保護することを目的とする。

　以下、第２の実施形態について説明する。第１の実施形態と同様の構成について、同一の符号を付して説明を省略する。

＜１．情報処理システム２の構成＞
　図１３及び図１４を用いて、本開示に係る情報処理システム２について説明する。

　図１３は、情報処理システム２の構成を示す図である。情報処理システム２は、情報処理装置５０と、管理者端末２０と、ネットワーク３０とを備える。

　図１４は、情報処理装置５０の機能構成を示すブロック図である。図１４に示すように、情報処理装置５０は、通信部１１０と、記憶部５２０と、制御部２３０とを含む。

　記憶部５２０は、情報処理装置５０が使用するデータ及びプログラムを記憶する。記憶部５２０は、コンテナに関するデータ、システムコールテーブル、第１システムコール関数群、第２システムコール関数群等を記憶する。また、記憶部５２０は、コンテナに関するデータを、上記第１層～第３層の構造を含むファイルシステムとして管理するデータベースとしての機能を有する。

　制御部２３０は、情報処理装置５０のプロセッサ１１がプログラムに従って処理を行うことにより、受信制御部１３１、送信制御部１３２、コンテナ制御部１３３、監視指示部２３４、書き換え部２３５、取得部１３６、監視部２３７、表示部２３８、バックアップ部２３９、及び復旧部２４０に示す機能を発揮する。

　監視指示部２３４は、システムコールの監視を開始及び終了する指示を各部に行う。

　監視指示部２３４は、監視の開始を指示するタイミングとして、任意のタイミングを採用することができる。例えば、監視指示部２３４が監視の開始を指示するタイミングとして、コンテナイメージのバックアップに用いる差分データが生成されたタイミング、当該差分データが記憶部５２０に格納されたタイミングなどを採用することができる。なお、監視指示部２３４が監視の開始及び終了を指示するタイミングは、人手による指示を受け付ける、定期とする等としてもよく、また、常時行うこととしてもよい。

　また、監視指示部２３４は、監視の終了を、監視終了の指示があったタイミング、コンテナが全て削除されたタイミング等に行う。

　書き換え部２３５は、呼び出し対象のシステムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象である場合に、システムコール関数による処理が正常に実行した場合のような結果又はエラーとする結果を返す第２システムコール関数を読み込ませるように、システムコールテーブルを書き換える。具体的には、書き換え部２３５は、システムコールテーブルの監視対象の第１システムコール関数のアドレスを、第２システムコール関数のアドレスに書き換える。なお、第２システムコール関数には、対応する第１システムコール関数のアドレスが含まれるように構成する。第２システムコール関数において、パラメータをチェックした場合、安全であれば元の第１システムコール関数を呼び出して処理するためである。また、書き換え部２３５は、第１システムコール関数を、第２システムコール関数に置き換える構成としてもよい。

　書き換え部２３５における監視対象は、システムコール関数を呼び出すプロセスの処理の内容と、プロセスの処理の対象ファイル及び対象ディレクトリの少なくとも何れかとの組み合わせとして予め定義される。監視対象は、例えば、下記（１）～（１４）のディレクトリ、ファイルと処理との組み合わせの少なくとも何れかである。
（１）差分データが格納されているディレクトリ配下のファイルの削除
（２）差分データが格納されているディレクトリの削除
（３）差分データが格納されているディレクトリ配下のファイルへの書込みモードでのオープン
（４）差分データが格納されているディレクトリ配下のファイルの移動
（５）差分データが格納されているディレクトリの移動
（６）差分データが格納されているディレクトリ配下のファイル名の変更
（７）差分データが格納されているディレクトリ名の変更
（８）差分データが格納されているディレクトリへのハードリンク
（９）差分データが格納されているディレクトリ配下のファイルへのハードリンク
（１０）差分データが格納されているディレクトリ配下へのディレクトリの追加
（１１）差分データが格納されているディレクトリへのシンボリックリンク
（１２）差分データが格納されているディレクトリ配下のファイルへのシンボリックリンク
（１３）差分データが格納されているディレクトリの属性変更
（１４）差分データが格納されているディレクトリ配下のファイルへの属性変更
（１５）差分データが格納されているディレクトリ及び配下を含むディレクトリパス上への他ファイルシステムのマウント
（１６）差分データが格納されているファイルシステムのアンマウント

　また、書き換え部２３５は、カーネルが読み込まれたタイミング、監視指示部２３４により監視開始指示があった場合等に、システムコールテーブルを書き換える。また、書き換え部２３５は、監視指示部２３４により監視終了指示があった場合に、書き換えたシステムコールテーブルを戻す。

　監視部２３７は、呼び出し対象の第１システムコール関数における処理の対象が、差分データの同一性に影響を与える監視対象のものであるか否かを判定する。具体的には、監視部２３７は、まず、呼び出し対象のシステムコール関数を書き替えられたシステムコールテーブルを参照することで呼び出す。書き換えられていないシステムコール関数である場合、第１システムコール関数が、システムコールテーブルにより呼び出される。監視部２３７は、当該第１システムコール関数を実行させ、処理結果を返す。監視部２３７の機能は、監視部１３７の機能を差分データについて準用することができる。

　表示部２３８は、コンテナ型仮想化環境における複数の差分データのうち、少なくとも１の差分データの指定及び指定の解除を受け付けるための画面を表示する。具体的には、表示部２３８は、コンテナイメージの指定を受け付ける画面を表示する。指定された差分データは、取得部１３６が取得するパラメータ、監視部２３７が判定する対象の差分データとなる。表示部２３８は、例えば、当該画面を、管理者端末２０に表示させる。

　なお、取得部１３６が取得するパラメータ及び監視部２３７が判定する対象の差分データは、明示的に選択されるまで、全ての差分データとしてもよい。

　バックアップ部２３９は、コンテナイメージの差分データを取得し、差分データをバックアップファイルとして記憶部５２０に格納する。

　具体的には、バックアップ部２３９は、任意のタイミングで、第２層のコンテナイメージと、第１層のコンテナイメージとの差分データを取得する。任意のタイミングは、定期的、予め決められたタイミングなどである。バックアップ部２３９は、例えば、１時間に１回、１日に１回など、任意のバックアップのタイミングに、差分データを取得する。

　バックアップ部２３９は、取得した差分データを記憶部５２０に格納する。バックアップ部２３９により記憶部５２０に格納された差分データが、第２の実施形態において保護の対象のデータとなる。

　また、バックアップ部２３９は、差分データを任意のタイミングごとに記憶部５２０に格納する。このとき、バックアップ部２３９は、所定の世代前の差分データを削除する構成としてもよい。

　復旧部２４０は、復旧指示の入力を受け付けることに応じて、第１層のコンテナイメージと、差分データとを用いて、決められた世代までコンテナイメージを復旧する。

　具体的には、復旧部２４０は、まず、復旧指示の入力を受け付ける。復旧指示には、復旧させたい世代、復旧させたい日時などが含まれる。

　次に、復旧部２４０は、復旧指示に含まれる世代、日時などの情報に応じた差分データと第１層のコンテナイメージを、記憶部５２０から取得する。

　そして、復旧部２４０は、取得した差分データと第１層のコンテナイメージとを用いて、コンテナイメージを復旧する。復旧部２４０は、取得した差分データと第１層のコンテナイメージとをマージしたコンテナイメージを生成する。復旧部２４０は、生成したコンテナイメージを、新たな第１層のコンテナイメージとして、記憶部５２０に格納する。

＜２．動作＞
　以下では、情報処理装置５０における処理について図面を参照しながら説明する。なお、差分データについて、第１実施形態の監視指示処理及び監視対象指定処理を準用することができるため、説明を省略する。

＜監視処理＞
　図１５は、情報処理装置５０による監視処理を行う流れの一例を示すフローチャートである。情報処理装置５０は、当該処理を、監視が開始されている状況において、書き換えられたシステムコールテーブルにより、第２システムコール関数が呼び出されたタイミングで実行する。なお、書き換えられていないシステムコール関数が呼び出される場合は、通常のシステムコール関数の呼び出し処理が行われる。

　ステップＳ２１１において、監視部２３７は、呼び出し対象のシステムコール関数を書き替えられたシステムコールテーブルを参照する。これにより、監視部２３７は、第２システムコール関数のアドレスを取得する。

　ステップＳ２１２において、監視部２３７は、呼び出し対象の第２システムコール関数を呼び出す。

　ステップＳ２１３において、監視部２３７は、システムコールによるシステムコール関数が呼び出される際のパラメータを取得する。

　ステップＳ２１４において、監視部２３７は、パラメータが、監視対象であるか否かを判定する。

　監視対象でない場合（上記ステップＳ２１４のＮ）、ステップＳ１１５において、監視部２３７は、第１システムコール関数を呼び出す。

　ステップＳ２１６において、監視部２３７は、呼び出した第１システムコール関数による処理を実行させる。

　ステップＳ２１７において、監視部２３７は、処理結果を返し、処理を終了する

　一方、監視対象である場合（上記ステップＳ２１４のＹ）、監視部２３７は、ステップ１１８において、第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返し、処理を終了する。

＜３．小括＞
　以上説明したように、本開示によれば、コンテナ型仮想化環境において、システムコールによる第１システムコール関数が呼び出される際のパラメータを取得し、当該パラメータが示す、呼び出し対象の当該第１システムコール関数における処理の対象が、コンテナ型仮想化環境におけるコンテナイメージのバックアップに用いる差分データの同一性に影響を与える監視対象のものでない場合、カーネルから当該第１システムコール関数を呼び出し、当該第１システムコール関数の処理結果を返し、当該パラメータが示す、呼び出し対象の当該第１システムコール関数における処理の対象が、当該監視対象のものである場合、当該第１システムコール関数は呼び出さず、当該システムコールによる処理が正常に実行した場合のような結果又はエラーとする処理結果を返すことにより、稼働中のコンテナイメージの差分ファイルを保護することができる。

＜その他の変形例＞
　以上、開示に係る実施形態について説明したが、これらはその他の様々な形態で実施することが可能であり、種々の省略、置換及び変更を行なって実施することができる。これらの実施形態及び変形例ならびに省略、置換及び変更を行なったものは、特許請求の範囲の技術的範囲とその均等の範囲に含まれる。

　例えば、情報処理装置１０の各機能は、他の装置に構成してもよい。例えば、記憶部１２０は、外部のデータベースとして構築してもよい。

　また、上記実施形態では、コンテナイメージ又はバックアップのための差分データを保護対象のデータとしたが、コンテナ型仮想化環境に限らずファイルシステムのファイルやディレクトリを透過的に重ねる技術（例えば、ＵｎｉｏｎＦＳなど）と、ファイル共有システム（例えば、ＳＡＭＢＡなど）を組み合わせるなど、これに限定されるものではない。保護対象のデータは、コンテナ型仮想化環境に限らずランサムウェアなどによる悪意のある操作から保護したいデータであれば、様々なデータを対象とすることができる。

　また、上記実施形態では、コンテナイメージ又はバックアップのための差分データを保護対象のデータとした。これらは択一的なものではなく、本開示の技術は、保護対象のデータとして、コンテナイメージとバックアップのための差分データとを採用することができる。この場合、単純には、第１実施形態で開示した技術と、第２実施形態で開示した技術とを組み合わせることにより、何れも保護することを実現することができる。

＜付記＞
　以上の各実施形態で説明した事項を、以下に付記する。
　（付記１）プロセッサを含む、コンテナ型仮想化環境を実行する情報処理装置（１０）を動作させるためのプログラムであって、前記プログラムは、前記プロセッサに、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行させるプログラム。

　（付記２）前記監視対象は、前記第１システムコール関数を呼び出すプロセスの処理の内容と、前記プロセスの処理の対象ファイル及び対象ディレクトリの少なくとも何れかとの組み合わせとして予め定義されたものである、（付記１）に記載のプログラム。

　（付記３）
前記システムコールテーブルの前記監視対象の前記第１システムコール関数のアドレスを、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする結果を返す第２システムコール関数のアドレスに書き換えるステップ（Ｓ１０１）、を実行させ、前記取得するステップにおいて、システムコールによる前記第２システムコール関数が呼び出される際のパラメータを取得する、（付記１）又は(付記２)に記載のプログラム。

　（付記４）前記コンテナ型仮想化環境における複数のコンテナイメージのうち、少なくとも１以上のコンテナイメージの指定を受け付けるための画面を表示するステップ（Ｓ１２１）、を実行させ、前記取得するステップにおいて、前記指定された１以上のコンテナイメージについての前記システムコールについて、前記パラメータを取得する、（付記１）～（付記３）の何れかに記載のプログラム。

　（付記５）前記コンテナ型仮想化環境おいて、コンテナイメージに基づいてコンテナホスト上にコンテナが生成されたタイミングで、前記取得するステップと、前記処理結果を返すステップとによる前記パラメータの監視を開始させるステップ（Ｓ１０１）、を実行させる（付記１）～（付記４）の何れかに記載のプログラム。

　（付記６）前記コンテナが全て削除された場合、前記取得するステップと、前記処理結果を返すステップとによる前記パラメータの監視を終了させるステップ（Ｓ１０５、Ｓ１０６）、を実行させる（付記５）に記載のプログラム。

　（付記７）プロセッサ（１１）を含む、コンテナ型仮想化環境を実行する情報処理装置（１０）であって、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行する情報処理装置。

　（付記８）プロセッサ（１１）を含む、コンテナ型仮想化環境を実行するコンピュータ（例えば、情報処理装置１０）が、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、コンテナイメージの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行する方法。

　（付記９）プロセッサ（１１）を含む情報処理装置（１０）であって、
　システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行する情報処理装置。

　（付記１０）前記保護対象のデータは、コンテナ型仮想化環境におけるコンテナイメージである、（付記９）に記載の情報処理装置。

　（付記１１）前記監視対象は、前記第１システムコール関数を呼び出すプロセスの処理の内容と、前記プロセスの処理の対象ファイル及び対象ディレクトリの少なくとも何れかとの組み合わせとして予め定義されたものである、
　（付記１０）に記載の情報処理装置。

　（付記１２）前記システムコールテーブルの前記監視対象の前記第１システムコール関数のアドレスを、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする結果を返す第２システムコール関数のアドレスに書き換えるステップ（Ｓ１０１）、を実行し、前記取得するステップにおいて、システムコールによる前記第２システムコール関数が呼び出される際のパラメータを取得する、（付記１０）に記載の情報処理装置。

　（付記１３）前記コンテナ型仮想化環境における複数のコンテナイメージのうち、少なくとも１以上のコンテナイメージの指定を受け付けるための画面を表示するステップ（Ｓ１２１）、を実行させ、前記取得するステップにおいて、前記指定された１以上のコンテナイメージについての前記システムコールについて、前記パラメータを取得する、（付記１０）に記載の情報処理装置。

　（付記１４）前記コンテナ型仮想化環境おいて、コンテナイメージに基づいてコンテナホスト上にコンテナが生成されたタイミングで、前記取得するステップと、前記処理結果を返すステップとによる前記パラメータの監視を開始させるステップ（Ｓ１０１）、を実行する（付記１０）に記載の情報処理装置。

　（付記１５）前記コンテナが全て削除された場合、前記取得するステップと、前記処理結果を返すステップとによる前記パラメータの監視を終了させるステップ（Ｓ１０５、Ｓ１０６）、を実行する（付記１４）に記載の情報処理装置。

　（付記１６）前記保護対象のデータは、コンテナ型仮想化環境におけるコンテナイメージのバックアップに用いる差分データである、（付記９）に記載の情報処理装置。

　（付記１７）前記保護対象のデータは、コンテナ型仮想化環境におけるコンテナイメージ、及び、前記コンテナイメージのバックアップに用いる差分データである、（付記９）に記載の情報処理装置。

　（付記１８）プロセッサ（１１）を含むコンピュータ（例えば、情報処理装置１０）が、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行する方法。

　（付記１９）プロセッサを含む情報処理装置（１０）を動作させるためのプログラムであって、前記プログラムは、前記プロセッサに、システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップ（Ｓ１１３）と、前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップ（Ｓ１１７）と、前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップ（Ｓ１１８）と、を実行させるプログラム。

１　情報処理システム、２　情報処理システム、１０　情報処理装置、１１　プロセッサ、１２　メモリ、１３　ストレージ、１４　通信ＩＦ、１５　入出力ＩＦ、２０　管理者端末、３０　ネットワーク、５０　情報処理装置、１１０　通信部、１２０　記憶部、１３０　制御部、１３１　受信制御部、１３２　送信制御部、１３３　コンテナ制御部、１３４　監視指示部、１３５　書き換え部、１３６　取得部、１３７　監視部、１３８　表示部、２３０　制御部、２３４　監視指示部、２３５　書き換え部、２３７　監視部、２３８　表示部、２３９　バックアップ部、２４０復旧部、５２０　記憶部。

Claims

　プロセッサを含む情報処理装置であって、
　システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップと、
　前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップと、
　前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップと、
　を実行する情報処理装置。
　前記保護対象のデータは、コンテナ型仮想化環境におけるコンテナイメージである、
　請求項１に記載の情報処理装置。
　前記監視対象は、前記第１システムコール関数を呼び出すプロセスの処理の内容と、前記プロセスの処理の対象ファイル及び対象ディレクトリの少なくとも何れかとの組み合わせとして予め定義されたものである、
　請求項２に記載の情報処理装置。
　前記システムコールテーブルの前記監視対象の前記第１システムコール関数のアドレスを、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする結果を返す第２システムコール関数のアドレスに書き換えるステップ、
　を実行し、
　前記取得するステップにおいて、システムコールによる前記第２システムコール関数が呼び出される際のパラメータを取得する、
　請求項２に記載の情報処理装置。
　前記コンテナ型仮想化環境における複数のコンテナイメージのうち、少なくとも１以上のコンテナイメージの指定を受け付けるための画面を表示するステップ、
　を実行し、
　前記取得するステップにおいて、前記指定された１以上のコンテナイメージについての前記システムコールについて、前記パラメータを取得する、
　請求項２に記載の情報処理装置。
　前記コンテナ型仮想化環境おいて、コンテナイメージに基づいてコンテナホスト上にコンテナが生成されたタイミングで、前記取得するステップと、前記処理結果を返すステップとによる前記パラメータの監視を開始させるステップ、
　を実行する請求項２に記載の情報処理装置。
　前記コンテナが全て削除された場合、前記取得するステップと、前記処理結果を返すステップとによる前記パラメータの監視を終了させるステップ、
　を実行させる請求項６に記載の情報処理装置。
　前記保護対象のデータは、コンテナ型仮想化環境におけるコンテナイメージのバックアップに用いる差分データである、
　請求項１に記載の情報処理装置。
　前記保護対象のデータは、コンテナ型仮想化環境におけるコンテナイメージ、及び、前記コンテナイメージのバックアップに用いる差分データである、
　請求項１に記載の情報処理装置。
　プロセッサを含むコンピュータが、
　システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップと、
　前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップと、
　前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップと、
　を実行する方法。
　プロセッサを含む情報処理装置を動作させるためのプログラムであって、前記プログラムは、前記プロセッサに、
　システムコールによるシステムコール関数が呼び出される際のパラメータを取得するステップと、
　前記パラメータが示す、呼び出し対象の第１システムコール関数における処理の対象が、保護対象のデータの同一性に影響を与える監視対象のものでない場合、カーネルから前記第１システムコール関数を呼び出し、前記第１システムコール関数の処理結果を返すステップと、
　前記パラメータが示す、呼び出し対象の前記第１システムコール関数における処理の対象が、前記監視対象のものである場合、前記第１システムコール関数は呼び出さず、前記第１システムコール関数による処理が正常に実行した場合のような結果又はエラーとする処理結果を返すステップと、
　を実行させるプログラム。