JP4518387B2 - セキュアosのセキュリティ診断プログラム及びシステム - Google Patents

セキュアosのセキュリティ診断プログラム及びシステム Download PDF

Info

Publication number
JP4518387B2
JP4518387B2 JP2004274540A JP2004274540A JP4518387B2 JP 4518387 B2 JP4518387 B2 JP 4518387B2 JP 2004274540 A JP2004274540 A JP 2004274540A JP 2004274540 A JP2004274540 A JP 2004274540A JP 4518387 B2 JP4518387 B2 JP 4518387B2
Authority
JP
Japan
Prior art keywords
authority
damage
security
domain
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004274540A
Other languages
English (en)
Other versions
JP2006092080A (ja
Inventor
雄一 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2004274540A priority Critical patent/JP4518387B2/ja
Publication of JP2006092080A publication Critical patent/JP2006092080A/ja
Application granted granted Critical
Publication of JP4518387B2 publication Critical patent/JP4518387B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、セキュアOSのセキュリティ診断技術に関する。
現在広く使われているOSのアクセス制御では、基本的にリソースの所有者がそのリソースへのアクセス権限を設定する。また、全ての権限をもつ特権というものが存在する。それに対して、セキュアOSとは、全権を持つ特権を排除し、プロセス毎にドメインと呼ばれるアクセス権限を付与できるようにしたOSである。プロセス毎にどんな権限を持つかという設定は、ポリシーファイルというファイルに記載されている。この機能により、各プロセスが必要なリソースにだけアクセスすることがOSによって保証され、プロセスにセキュリティホールがあり、攻撃者にプロセスが乗っ取られたとしても、その被害を最小限にすることができる。
セキュリティ診断に関する技術としては、特許文献1のような技術がある。これは、アプリケーションにセキュリティホールがあるか否かを診断するものである。
特開2002−149508(P2002−149508A)
基本的に、セキュアOS上の各プロセスには、最小限の権限が割り当てられている。各プロセスがどんなリソースにアクセスできるかという権限の設定は、ポリシーファイルに記載されている。セキュアOSを適用することによって、システムが攻撃されたとしても、実際に被害が発生するリスクは軽減される。しかし、プロセスが最小限の権限を持っているといえども、攻撃者はプロセスを乗っ取ることにより、その権限の範囲内で被害を及ぼすことができる。そのため、セキュアOSを使っても攻撃によって被害が発生するリスクが存在する。また、システムの管理者が、ポリシーファイルに誤った記載をし、これによりプロセスに無用の権限を与えてしまう場合もある。
上述したリスクに対し、特許文献1に記載の技術で対処することが考えられる。しかし、特許文献1の技術は、アプリケーションのセキュリティホールを検査するものであり、セキュアOSには対応していない。
本発明の課題は、セキュアOS適用システムにどのようなリスクがあるのかを分析する手法を提供することにある。
上記課題を解決するために、本発明では、セキュアOSにおける各ドメインまたは各プロセスの権限を定義したポリシーファイルを分析する。ポリシーファイルを分析するために、被害とその被害を及ぼすために必要な権限とを対応付けて格納した被害権限テーブルや、被害を及ぼす可能性を増大させるリスク増大要因と該リスク増大要因に必要な権限とを対応付けて格納したリスク増大要因テーブルを用意する。被害権限テーブルの行要素の例としては、被害:「ホームページの破壊」があり、権限:「ホームページへの書き込み権限」などがある。また、リスク増大要因テーブルの行要素の例としては、要因:「シェルの起動」、権限:「シェルの実行権限」などがある。シェルの起動は攻撃者の攻撃の道具として使われるため、シェルの実行権限を攻撃者に与えると攻撃者に被害を及ぼされる可能性が増大するため、そのようなリスク増大要因を警告することは非常に重要である。本発明では、ポリシーファイルをオープンし、ドメインまたはプロセスが上記被害権限テーブルやリスク増大要因テーブルに含まれる権限を持っている場合に警告を表示する。
また、ユーザがその警告を指定して所定の操作を行ったとき、その指定された警告に係る権限が当該権限に対応する前記ドメインまたはプロセスにおいて無効となるように前記ポリシーファイルの設定を行う。
本発明によれば、セキュアOSのアクセス制御設定中にどのようなリスクが潜んでいるかを、一目で知ることができる。また、リスクを増大させる要因となる設定も知ることができる。従って、セキュアOSにどのようなリスクが残っているかを、容易に知ることができる。さらに、提示されたセキュアOSのリスクに対しては、簡単な操作で、当該リスクの原因となる権限が無効となるようにポリシーファイルを自動で設定することができる。
以下、本発明の一実施形態を図面を参照しながら説明する。
図1は、本発明の一実施形態に係るシステム全体の構成を示す図である。サーバ110には、セキュアOS111が搭載されている。セキュアOS111は、ポリシーファイル112を参照し、その内容に基づいてアクセス制御を行う。オペレータ120は管理サーバ115に接続し、管理サーバ115を経由して検査ツール113を起動する。検査ツール113は、攻撃手法ファイル114を読み込み、攻撃手法ファイル114を参照し、ポリシーファイル112を検査する。
図2は、サーバ110の詳細な構成を示した図である。セキュアOS111は、ドメインベースのアクセス制御機能211を備える。ドメインベースのアクセス制御機能211とは、プロセス毎にドメインと呼ばれる権限名を割り当て、プロセス毎にリソースに対するアクセス制御をかける機能である。
検査ツール113は、検査機能221を備える。本実施形態では、この検査機能221を用いてポリシーファイル112を検査する。検査機能221の詳細は、図7で説明する。管理サーバ115は、検査ツール113を使うために認証を行う認証機能231と、検査ツール113の起動などを行う検査ツール管理機能232を備える。これらの詳細は、図6で説明する。ポリシーファイル112は、アクセス制御設定ファイル241を含む。アクセス制御設定ファイル241には、ドメインベースのアクセス制御機能211に対する設定が記述されている。これについては、図3を用いて詳しく説明する。攻撃手法ファイル114は、被害権限テーブル251とリスク増大要因テーブル252とを含む。被害権限テーブル251及びリスク増大要因テーブル252は、検査機能221の中で用いる。これらの詳細は、図4及び図5を用いて詳しく説明する。
図3は、アクセス制御設定ファイル241の構成を示したものである。ドメイン310、リソース320、及び操作330の組を指定して設定する。例えば、1行目341は、「httpd_tドメインは、/var/www/customerというファイルに対して読み込み操作ができる」という設定を示している。このように設定を記述することで、どのドメインがどのリソースにアクセス可能であるかを設定する。アクセス制御設定ファイルに明示的に記述されていないようなアクセスは全て不可になる。
図4は、被害権限テーブル251の構成を示したものである。被害410を及ぼすために必要なアクセス権限(リソース420に対して許可される操作430)が表形式で示されている。例えば、行441は、「顧客情報の漏洩という被害を及ぼすには、/var/www/customerへの読み込み権限とネットワークへの接続権限が必要である」という意味である。検査機能221は、アクセス制御設定ファイル241を検査し、あるドメインが行441に示されている2つの権限を持っている場合、「顧客情報の漏洩の被害が出る恐れがある」と診断する。同様に、442,443,444で示される3行の意味は、「DBへのアクセスという被害を及ぼすには、/var/postgreSQL/dataへの読み込み、または/var/postgreSQL/dataへの書き込み、またはpgsql_tドメインへの接続権限が必要である」という意味になる。
なお、441の設定では、リソース420と操作の種類430の組合せが、間に行を分ける罫線無しで記載されているが、これはそれらの権限がANDで結ばれることを意味する。また、442〜444の設定では、リソース420と操作の種類430の組合せが、行を分ける罫線有りで3行分記載されているが、これはそれらの権限がORで結ばれることを意味する。
図5は、リスク増大要因テーブル252の詳細な構成を示す。このテーブルは、権限を奪取されるだけで即被害に繋がる訳ではないが、奪取されると攻撃者に攻撃の道具に使われる権限を列挙したものである。行541の例では、/bin/shの実行権限をリスク増大要因「シェルの起動」としている。攻撃者は攻撃の道具として/bin/shの実行を行うことが多いため、541のような行を登録している。
図6は、管理サーバ115の処理の流れである。まず、ステップ610で、オペレータからの接続を待つ。ステップ620で、オペレータが接続したら認証を行う。認証がパスしたら、ステップ630で、検査ツール113を起動する。
図7は、検査ツール113の検査機能221の処理の流れである。この処理により、アクセス制御設定ファイル241、被害権限テーブル251、及びリスク増大要因テーブル252を入力し、特定のドメインに関する設定のうち、危険なものを抽出して表示する。ここでは、アクセス制御設定ファイル241、被害権限テーブル251、及びリスク増大要因テーブルとして図3、図4、及び図5のような内容が入力されたとし、httpd_tドメインに関する設定を検査した例も並行して説明する。図7の処理に入る前提として、オペレータは検査対象となるドメインを特定する情報を入力しているものとする。
ステップ710で、オペレータが入力した検査対象となるドメインに関する設定をアクセス制御設定ファイル241から抜粋する。例えば、httpd_tドメインを検査対象とした場合は、httpd_tドメインに関する設定として、図3の上4行を抜粋する(行341〜344)。次に、ステップ720で、そのドメインに関するアクセス制御の中から想定される被害の抽出を行う。すなわち、被害権限テーブル251とステップ710で抽出した設定とを比較し、被害権限テーブル251のうち、ステップ710で抽出した設定に対応したものを取り出す。今回の例の場合では、図4の被害権限テーブルを見てみると、行441のリソース・操作と、行444のリソース・操作がステップ710で抽出した設定(行341〜344)の中に存在する。従って、行441及び行444を取り出す。
ステップ730では、当該ドメインに関するアクセス制御設定の中からリスク増大要因を抽出する。すなわち、リスク増大要因テーブル252とステップ710で抽出した設定とを比較し、リスク増大要因テーブル251のうち、ステップ710で抽出した設定に対応したものを取り出す。今回の例では、図5のリスク増大要因テーブルをみると、行541のリソースと操作がステップ710で抽出した設定(行341〜344)の中に存在する。従って、行541を取り出す。ステップ740で、結果を表示する。
図8に、ステップ740による結果の表示例を示す。810に検査対象となったドメインが表示される。820にステップ720で抽出された想定被害が表示される。821は当該ドメインで起こりうる被害(リスク)が表示される欄であり、その被害を引き起こすリソース及び操作の種類が822,823に表示される。830にステップ730で抽出されたリスク増大要因が表示される。831は当該ドメインにおけるリスク増大要因が表示される欄であり、そのリスク増大要因の原因となるリソース及び操作の種類が832,833に表示される。824,834の列にあるチェックボックスを使うことによって、対応するリソース822,823及び操作の種類832,833に対応するアクセス制御設定を有効・無効にすることができる。例えば、チェックボックス840のチェックを外すと、図3のアクセス制御設定ファイルの対応する行344の設定が無効になる。
図9は、オペレータによる全体の処理の流れを示す。ステップ910で、オペレータ120は管理サーバ115に接続する。ここで図6の処理により認証を受ける。認証がパスしたら、オペレータは、ステップ920で検査ツール113を起動する。ここでオペレータは検査対象となるドメインを入力する。検査ツールは検査機能221の機能により、図7の処理を行う。ステップ930で、図8のような検査結果を得る。
システム全体の構成を示した図である。 サーバの構成を示した図である。 アクセス制御設定ファイルの構成を示した図である。 被害権限テーブルの構成を示した図である。 リスク増大要因テーブルの構成を示した図である。 管理サーバの処理の流れを示した図である。 検査ツールの処理の流れを示した図である。 検査結果を示した図である。 全体の処理の流れを示した図である。
符号の説明
110…サーバ、111…セキュアOS、112…ポリシーファイル、113…検査ツール、114…攻撃手法ファイル、115…管理サーバ、120…オペレータ、211…ドメインベースのアクセス制御機能、221…検査機能、231…認証機能、232…検査ツール管理機能、241…アクセス制御設定ファイル、251…被害権限テーブル、252…リスク増大要因テーブル。

Claims (6)

  1. プロセス毎にどのようなリソースにアクセスができるかというアクセス制御設定が可能なオペレーティングシステムであるセキュアOSのセキュリティ診断を行うセキュリティ診断プログラムであって、
    被害とその被害を及ぼすために必要な権限とを対応付けて格納した被害権限テーブルを備え、
    該セキュリティ診断プログラムを実行することにより、コンピュータを、
    セキュリティ診断の対象であるセキュアOSにおける各ドメインまたは各プロセスの権限を定義したポリシーファイルから、前記被害権限テーブルに格納されている権限を、検索する手段、及び
    検索された権限に対応するドメインまたはプロセスについて、該検索された権限とそれに対応する被害とを明示して警告を出力する手段
    として機能させることを特徴とするセキュリティ診断プログラム。
  2. プロセス毎にどのようなリソースにアクセスができるかというアクセス制御設定が可能なオペレーティングシステムであるセキュアOSのセキュリティ診断を行うセキュリティ診断プログラムであって、
    被害を及ぼす可能性を増大させるリスク増大要因と該リスク増大要因に必要な権限とを対応付けて格納したリスク増大要因テーブルを備え、
    該セキュリティ診断プログラムを実行することにより、コンピュータを、
    セキュリティ診断の対象であるセキュアOSにおける各ドメインまたは各プロセスの権限を定義したポリシーファイルから、前記リスク増大要因テーブルに格納されている権限を、検索する手段、及び
    検索された権限に対応するドメインまたはプロセスについて、該検索された権限とそれに対応するリスク増大要因とを明示して警告を出力する手段
    として機能させることを特徴とするセキュリティ診断プログラム。
  3. 請求項1または2に記載のセキュリティ診断プログラムにおいて、
    さらに、前記コンピュータを、
    ユーザが前記出力された警告を指定した所定の操作を行ったとき、その指定された警告に係る権限が当該権限に対応する前記ドメインまたはプロセスにおいて無効となるように、前記ポリシーファイルの設定を行う手段
    として機能させることを特徴とするセキュリティ診断プログラム。
  4. プロセス毎にどのようなリソースにアクセスができるかというアクセス制御設定が可能なオペレーティングシステムであるセキュアOSのセキュリティ診断を行うセキュリティ診断システムであって、
    被害とその被害を及ぼすために必要な権限とを対応付けた被害権限テーブルを記憶する手段と、
    セキュリティ診断の対象であるセキュアOSにおける各ドメインまたは各プロセスの権限を定義したポリシーファイルから、前記被害権限テーブルに格納されている権限を、検索する手段と、
    検索された権限に対応するドメインまたはプロセスについて、該検索された権限とそれに対応する被害とを明示して警告を出力する手段と
    を備えることを特徴とするセキュリティ診断システム。
  5. プロセス毎にどのようなリソースにアクセスができるかというアクセス制御設定が可能なオペレーティングシステムであるセキュアOSのセキュリティ診断を行うセキュリティ診断システムであって、
    被害を及ぼす可能性を増大させるリスク増大要因と該リスク増大要因に必要な権限とを対応付けたリスク増大要因テーブルを記憶する手段と、
    セキュリティ診断の対象であるセキュアOSにおける各ドメインまたは各プロセスの権限を定義したポリシーファイルから、前記リスク増大要因テーブルに格納されている権限を、検索する手段と、
    検索された権限に対応するドメインまたはプロセスについて、該検索された権限とそれに対応するリスク増大要因とを明示して警告を出力する手段と
    を備えることを特徴とするセキュリティ診断システム。
  6. 請求項4または5に記載のセキュリティ診断システムにおいて、
    さらに、ユーザが前記出力された警告を指定した所定の操作を行ったとき、その指定された警告に係る権限が当該権限に対応する前記ドメインまたはプロセスにおいて無効となるように、前記ポリシーファイルの設定を行う手段を備えることを特徴とするセキュリティ診断システム。
JP2004274540A 2004-09-22 2004-09-22 セキュアosのセキュリティ診断プログラム及びシステム Expired - Fee Related JP4518387B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004274540A JP4518387B2 (ja) 2004-09-22 2004-09-22 セキュアosのセキュリティ診断プログラム及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004274540A JP4518387B2 (ja) 2004-09-22 2004-09-22 セキュアosのセキュリティ診断プログラム及びシステム

Publications (2)

Publication Number Publication Date
JP2006092080A JP2006092080A (ja) 2006-04-06
JP4518387B2 true JP4518387B2 (ja) 2010-08-04

Family

ID=36233010

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004274540A Expired - Fee Related JP4518387B2 (ja) 2004-09-22 2004-09-22 セキュアosのセキュリティ診断プログラム及びシステム

Country Status (1)

Country Link
JP (1) JP4518387B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5691539B2 (ja) * 2011-01-17 2015-04-01 富士通株式会社 情報処理方法、プログラム、情報処理装置、及び、情報処理システム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
JP2003233521A (ja) * 2002-02-13 2003-08-22 Hitachi Ltd ファイル保護システム
JP2004139292A (ja) * 2002-10-17 2004-05-13 Hitachi Ltd アクセス制御のポリシー診断システム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003150748A (ja) * 2001-11-09 2003-05-23 Asgent Inc リスク評価方法
JP2003233521A (ja) * 2002-02-13 2003-08-22 Hitachi Ltd ファイル保護システム
JP2004139292A (ja) * 2002-10-17 2004-05-13 Hitachi Ltd アクセス制御のポリシー診断システム
JP2005190066A (ja) * 2003-12-25 2005-07-14 Hitachi Ltd 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム

Also Published As

Publication number Publication date
JP2006092080A (ja) 2006-04-06

Similar Documents

Publication Publication Date Title
CN104769604B (zh) 实时模块保护
KR20180095510A (ko) 소프트웨어 개발을 위한 소프트웨어 위험 통제 방법 및 시스템
TWI483137B (zh) 包括埠口與客屬領域之運算裝置
US8683596B2 (en) Detection of DOM-based cross-site scripting vulnerabilities
KR101799261B1 (ko) 하드웨어 모드와 보안 플래그에 의존하여 판독된 명령어에 대한 메모리 영역의 제한
US9582418B2 (en) Confirming the sensitivity of a data object in a managed object heap
EP3341884B1 (en) Systems methods and devices for memory analysis and visualization
JPWO2006087780A1 (ja) 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法
US20150207810A1 (en) Method and System for Detecting Behaviour of Remotely Intruding into Computer
MX2014009046A (es) Administracion operativa centralizada.
US20090254999A1 (en) Mediated access of software dumped data through specialized analysis modules
US9716704B2 (en) Code analysis for providing data privacy in ETL systems
JP5366864B2 (ja) セキュリティ対策基準作成支援システム及びプログラム及びセキュリティ対策基準作成支援方法
Wheeler Preventing heartbleed
JP5499805B2 (ja) 情報処理装置、情報処理システム、情報処理方法並びに情報処理プログラム
JP2012103870A (ja) 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム
JP2021507361A (ja) 間接アクセスメモリコントローラ用のメモリ保護装置
JP5936798B2 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
JP5413010B2 (ja) 分析装置、分析方法およびプログラム
JP2008234248A (ja) プログラム実行装置及びプログラム実行方法
JP4518387B2 (ja) セキュアosのセキュリティ診断プログラム及びシステム
JP4363214B2 (ja) アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム
US20230195339A1 (en) Control method, information processing device, non-transitory computer-readable recording medium storing control program, and information processing system
US11010479B2 (en) Cyber security for space-switching program calls
JP6391143B2 (ja) アクセス制御装置、情報共有システム、プログラム及びアクセス制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100512

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100513

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130528

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees