WO2016152181A1 - アクセス制御システム及びアクセス制御方法 - Google Patents

Abstract

プロセスを実行するプロセッサと、前記プログラムを格納するメモリとを有する計算機によって構成されるアクセス制御システムであって、前記プロセスを起動するプロセスであるランチャと、前記プロセスが発行するＩ／Ｏ要求の制御内容が定義されたＡＣＬファイルと、前記プロセスの親を辿り、前記ランチャを起源として起動されたプロセスかを判定するプロセス探索部と、前記ＡＣＬファイルに定義された内容に従って、前記ランチャを起源として起動されたプロセスが発行するＩ／Ｏ要求を制御するアクセス制御部とを有する。

Description

アクセス制御システム及びアクセス制御方法 参照による取り込み

　本出願は、平成２７年（２０１５年）３月２５日に出願された日本出願である特願２０１５－６２９９９の優先権を主張し、その内容を参照することにより、本出願に取り込む。

　本発明は、アクセスコントロールシステムに関する。

　従来、機密情報ファイルを取り扱うＰＣ等の端末において、機密情報保護を目的にファイアウォールやファイルシステムへのアクセスコントロールを設定し、悪意のある利用者からの不正なアクセスや機密情報ファイルの持ち出しなどを防ぐ技術がある。

　本技術の背景技術として、特開２００７－１４０７９８号公報がある。特開２００７－１４０７９８号公報は、コンピュータ上で実行されるアプリケーションがハードディスクなどの記憶部に記憶された情報にアクセスしようとした時点で、予め設定されたアクセス許容条件を満たすかどうかを判定部により判定して、不正なアクセスと判定された場合に前記情報のアプリケーションへの受け渡しを禁止するコンピュータの情報漏洩防止システムが記載されている。

　一方、統合オフィスソフトにはワードプロセッサ、表計算など複数のアプリケーションが含まれており、統合オフィスソフトは様々な形式のファイルを取り扱う。このため、統合オフィスソフトを利用して機密情報ファイルを編集する場合、前述した従来の技術では、拡張子に着目してアクセスコントロールを設定できる。しかし、アプリケーションが取り扱う全ての拡張子を把握して、必要な全ての設定をしなければならない。

　また、ネットワークによる通信をファイアウォールで制御する場合、通信先や通信プログラムなどを個々にアクセスコントロールを設定しなければならない。

　本発明の目的は、前述したようなファイルシステムやファイアウォールのアクセスコントロールの設定を簡略化するシステムを提供することにある。

　本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、プロセスを実行するプロセッサと、前記プログラムを格納するメモリとを有する計算機によって構成されるアクセス制御システムであって、前記プロセスを起動するプロセスであるランチャと、前記プロセスが発行するＩ／Ｏ要求の制御内容が定義されたＡＣＬファイルと、前記プロセスの親を辿り、前記ランチャを起源として起動されたプロセスかを判定するプロセス探索部と、前記ＡＣＬファイルに定義された内容に従って、前記ランチャを起源として起動されたプロセスが発行するＩ／Ｏ要求を制御するアクセス制御部とを有する。

　本発明の代表的な実施の形態によれば、アクセスコントロールの設定を簡略化できる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

本発明の実施例のシステムの構成示す図である。 本実施例のユーザ端末の物理的な構成を示すブロック図である。 本実施例のＡＣＬテーブルの構成例を説明する図である。 本実施例のＩ／Ｏ検出機能をフィルタマネージャに登録する処理のフローチャートである。 本実施例のプロセス探索機能のフローチャートである。 本実施例のアクセスコントロール機能のフローチャートである。

　以下、本発明を実施する場合について、図面を用いて詳細に説明する。

　図１は、本発明の実施例のシステムの構成を示す図である。

　図１において、ユーザ端末１０１は、記憶装置１０２、ネットワークアダプタ１０３を有する。また、ユーザ端末１０１には、オペレーティングシステム１０７、ファイルシステムドライバ１０５、ネットワークドライバ１０６がインストールされている。さらに、ユーザ端末１０１には、プロセス１０９から生じるファイルＩ／Ｏ要求パケット１１０及びネットワークＩ／Ｏ要求パケット１１１をフィルタするフィルタマネージャ１０８を、オペレーティングシステム１０７内に有する。フィルタマネージャ１０８には、Ｉ／Ｏ検出機能１１３が登録されている。Ｉ／Ｏ検出機能１１３は、プロセス探索機能１１４と、アクセスコントロール機能１１５とを含む。また、ユーザ端末１０１内には、ランチャ１１２と、設定ツール１１６がインストールされている。

　ランチャ１１２は、任意のプロセス１０９を起動する。Ｉ／Ｏ検出機能１１３は、フィルタマネージャ１０８を通じてファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１を受け取る。プロセス探索機能１１４は、Ｉ／Ｏ検出機能１１３にて受け取った要求パケットから送信元のプロセス１０９の親プロセスを確認する。アクセスコントロール機能１１５は、プロセス探索機能１１４にて親プロセスがランチャ１１２であることが確認できた場合にＡＣＬファイル１１７に従ってアクセスコントロールを行う。設定ツール１１６は、ＡＣＬファイル１１７にアクセスコントロール設定を記録、編集、削除する。

　ワードプロセッサ、表計算、Ｗｅｂブラウザなど任意のプロセス１０９を起動する際に、ＡＣＬファイル１１７を適用したい場合、ユーザはランチャ１１２からプロセス１０９を起動する。プロセス１０９がファイルやネットワークへのアクセスする場合、オペレーティングシステム１０７は、アクセス内容やアクセス元のプロセス情報を含むパケットを生成し、フィルタマネージャ１０８を通じて、ファイルシステムドライバ１０５やネットワークドライバ１０６に渡す。

　フィルタマネージャ１０８は、Ｉ／Ｏ検出機能１１３内のプロセス探索機能１１４を呼び出す。プロセス探索機能１１４は、プロセス１０９の親プロセス、さらに親のプロセスを探索しプロセス１０９の起源がランチャ１１２であるかを判定する。プロセス探索機能１１４がプロセス１０９の起源がランチャ１１２であると判定した場合、フィルタマネージャ１０８はアクセスコントロール機能１１５を呼び出す。

　アクセスコントロール機能１１５は、ＡＣＬファイル１１７に従って、ファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１の許可、拒否、変更などのアクセス制御を行う。

　上記により、ランチャ１１２を起源とする全ての子プロセスや孫プロセスに一括してＡＣＬファイル１１７のアクセスコントロールを適用することができる。

　図２は、ユーザ端末１０１の物理的な構成を示すブロック図である。

　本実施形態のユーザ端末１０１は、プロセッサ（ＣＰＵ）１、メモリ２、補助記憶装置３、通信インターフェース４、入力インターフェース５及び出力インターフェース８を有する計算機によって構成される。

　プロセッサ１は、メモリ２に格納されたプログラムを実行する。メモリ２は、不揮発性の記憶素子であるＲＯＭ及び揮発性の記憶素子であるＲＡＭを含む。ＲＯＭは、不変のプログラム（例えば、ＢＩＯＳ）などを格納する。ＲＡＭは、ＤＲＡＭ（Dynamic Random Access Memory）のような高速かつ揮発性の記憶素子であり、プロセッサ１が実行するプログラム及びプログラムの実行時に使用されるデータを一時的に格納する。

　補助記憶装置３は、例えば、磁気記憶装置（ＨＤＤ）、フラッシュメモリ（ＳＳＤ）等の大容量かつ不揮発性の記憶装置であり、記憶装置１０２を構成する。また、補助記憶装置３は、プロセッサ１が実行するプログラムを格納する。すなわち、プログラムは、補助記憶装置３から読み出されて、メモリ２にロードされて、プロセッサ１によって実行される。

　通信インターフェース４は、所定のプロトコルに従って、他の装置（ファイルサーバやゲートウェイなど）との通信を制御するネットワークインターフェース装置である。

　入力インターフェース５は、キーボード６やマウス７などが接続され、オペレータからの入力を受けるインターフェースである。出力インターフェース８は、ディスプレイ装置９やプリンタなどが接続され、プログラムの実行結果をオペレータが視認可能な形式で出力するインターフェースである。

　プロセッサ１が実行するプログラムは、リムーバブルメディア（ＣＤ－ＲＯＭ、フラッシュメモリなど）又はネットワークを介してユーザ端末１０１に提供され、非一時的記憶媒体である不揮発性の補助記憶装置３に格納される。このため、ユーザ端末１０１は、リムーバブルメディアからデータを読み込むインターフェースを有するとよい。

　ユーザ端末１０１は、物理的に一つの計算機上で、又は、論理的又は物理的に構成された複数の計算機上で構成される計算機システムであり、同一の計算機上で別個のスレッドで動作してもよく、複数の物理的計算機資源上に構築された仮想計算機上で動作してもよい。

　図３は、ＡＣＬファイル１１７の構成例を説明する図である。

　ＡＣＬファイル１１７は、ネットワークアクセスのルールを定義するネットワークＡＣＬ２０１と、ファイルアクセスのルールを定義するファイルＡＣＬ２０２とを含む。

　ネットワークＡＣＬ２０１は、ルールを一意に識別するためのルール番号２０３と、通信元２０４、通信先２０５、アクセスコントロールの定義２０６を保持する。

　通信元２０４には、アクセスコントロールを適用する通信元のネットワーク情報をＩＰアドレス及びネットマスク、自身を示す「ＬＯＣＡＬ」、または全てを示す「ＡＮＹ」などを指定する。通信先２０５には、アクセスコントロールを適用する通信先のネットワーク情報をＩＰアドレス及びネットマスク、自身を示す「ＬＯＣＡＬ」、または全てを示す「ＡＮＹ」などを指定する。定義２０６には、ルールに該当する場合に通信を許可するか拒否するかを指定する。また、定義２０６には、ルールに該当する場合に通信先を別のアドレスへ変更することも指定できる。

　ファイルＡＣＬ２０２は、ルールを一意に識別するためのルール番号２０７と、アクセス先のファイルまたはディレクトリを示すアクセスパス２０８、アクセスコントロールの定義２０９を保持する。

　アクセスパス２０８には、アクセスコントロールが適用されるファイルパス、またはディレクトリパスを文字列で指定する。定義２０９には、ルールに該当する場合にファイルまたはディレクトリへのアクセスを許可するか拒否するかを指定する。また、定義２０９には、ルールに該当する場合にアクセスパスを別のパスへ変更することも指定できる。

　図４は、Ｉ／Ｏ検出機能１１３をフィルタマネージャ１０８に登録する処理のフローチャートである。

　フィルタマネージャ１０８は、オペレーティングシステム１０７によって提供される機能である。オペレータは、オペレーティングシステム１０７に命令することによって、オペレーティングシステム１０７が処理するファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１を、フィルタマネージャ１０８を通じてＩ／Ｏ検出機能１１３へ渡すことができる。

　まず、フィルタマネージャ１０８は、オペレータの指示に従って、ファイルＩ／Ｏ要求パケット１１０をＩ／Ｏ検出機能１１３に転送するように設定する（ステップ３０１）。さらに、フィルタマネージャ１０８は、オペレータの指示に従って、ネットワークＩ／Ｏ要求パケット１１１をＩ／Ｏ検出機能１１３に転送するように設定する（ステップ３０２）。

　図５は、プロセス探索機能１１４のフローチャートである。

　プロセス探索機能１１４は、ファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１を生成したプロセスの親プロセスを辿る処理を実行する。

　プロセス探索機能１１４は、フィルタマネージャ１０８からＩ／Ｏ検出機能１１３を通じてファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１を受け取ると、親プロセス探索処理を開始する。

　まず、プロセス探索機能１１４は、ファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１から呼び出し元のプロセス１０９のプロセスＩＤを取得し、ＣｈｅｃｋＩＤとする（ステップ４０１）。

　次に、ステップ４０１で取得したＣｈｅｃｋＩＤがランチャ１１２のプロセスＩＤと一致するか判定する（ステップ４０２）。

　ステップ４０２でＣｈｅｃｋＩＤがランチャ１１２のプロセスＩＤと一致すると判定された場合（ステップ４０３でＹＥＳ）、プロセス１０９はランチャ１１２から起動されている旨を呼出元に返信して処理を終了する（ステップ４０７）。

　一方、ＣｈｅｃｋＩＤがランチャ１１２のプロセスＩＤと一致しないと判定された場合（ステップ４０３でＮＯ）、ＣｈｅｃｋＩＤの親プロセスのプロセスＩＤを取得する（ステップ４０４）。

　親プロセスのプロセスＩＤを取得できなかった場合（ステップ４０５でＮＯ）、プロセス１０９はランチャ１１２から起動されていない旨を呼出元に返信して（ステップ４０８）処理を終了する。

　一方、親プロセスのプロセスＩＤを取得できた場合（ステップ４０５でＹＥＳ）、ステップ４０４で取得したプロセスＩＤを新しくＣｈｅｃｋＩＤとし（ステップ４０６）、ステップ４０２に戻り、さらに親のプロセスを探索する。

　図６は、アクセスコントロール機能１１５のフローチャートである。

　アクセスコントロール機能１１５は、ネットワークやファイルのアクセスコントロールを実行する。

　ステップ４０８の結果、呼び出し元のプロセス１０９がランチャ１１２から起動されたプロセスであった場合、ファイルＩ／Ｏ要求パケット１１０やネットワークＩ／Ｏ要求パケット１１１に対してアクセスコントロールを処理するため、Ｉ／Ｏ要求パケットがファイルＩ／ＯかネットワークＩ／Ｏかを判定する（ステップ５０１）。

　Ｉ／Ｏ要求パケットがファイルＩ／Ｏ要求パケット１１０である場合、ＡＣＬファイル１１７のファイルＡＣＬ２０２からルールを一つ取得する（ステップ５０２）。

　一方、Ｉ／Ｏ要求パケットがネットワークＩ／Ｏ要求パケット１１１である場合、ＡＣＬファイル１１７のネットワークＡＣＬ２０１からルールを一つ取得する（ステップ５０３）。

　ステップ５０２及びステップ５０３にてルールを取得できなかった場合（ステップ５０４でＮＯ）、アクセスコントロール処理を終了する。

　一方、ステップ５０２及びステップ５０３にてルールを取得できた場合（ステップ５０４でＹＥＳ）、Ｉ／Ｏ要求パケットの内容（通信元、通信先、アクセスパスなど）と、ステップ５０２及びステップ５０３で取得したルール（通信元２０４、通信先２０５、アクセスパス２０８など）が一致するかを判定する（ステップ５０５）。

　その結果、Ｉ／Ｏ要求パケットの内容とルールとが一致する場合（ステップ５０６でＹＥＳ）、ＡＣＬファイル１１７の定義２０６、２０９に従って、Ｉ／Ｏ要求パケットを更新して（ステップ５０７）、アクセスコントロール処理を終了する。

　一方、前記Ｉ／Ｏ要求パケットの内容とルールが一致しない場合（ステップ５０６でＮＯ）、ＡＣＬファイル１１７から次のルールを一つ取得して（ステップ５０８）、ステップ５０４に戻り、処理を続ける。

　前述した方法によって、プロセスの親子関係を利用し、ランチャ１１２から起動した全てのプロセス１０９に対して、ＡＣＬファイル１１７で設定したアクセスコントロールを適用することができる。

　なお、複数のルールが該当する場合、優先して適用する順にＡＣＬファイル１１７にルールを登録するとよい。また、ＡＣＬファイル１１７に優先順位を定義しておき、Ｉ／Ｏ要求パケットに該当するルールを全て選択し、定義された優先順位に従って、Ｉ／Ｏ要求パケットにアクセスコントロール定義を適用してもよい。

　以上に説明したように、本発明の実施例によると、プロセスを起動するプロセスであるランチャ１１２と、プロセスが発行するＩ／Ｏ要求の制御内容が定義されたＡＣＬファイル２０２と、起動されたプロセスの親を辿り、ランチャ１１２を起源として起動されたプロセスかを判定するプロセス探索機能１１４と、ＡＣＬファイル２０２に定義された内容に従って、ランチャ１１２を起源として起動されたプロセスが発行するＩ／Ｏ要求を制御するアクセスコントロール機能１１５とを有するので、利用者はプロセス毎やファイル毎にアクセスコントロールを設定しなくても、フィルタマネージャ１０８にアクセスコントロールを設定して、セキュリティを適用したいプロセスをランチャ１１２から起動することによって、ネットワークやファイルシステムへのアクセスを一意に制御することができる。

　また、プロセス探索機能１１４は、Ｉ／Ｏ要求を発行したプロセスの識別情報を取得し、プロセスを起動したプロセスの識別情報がランチャ１１２の識別情報と同一であれば、Ｉ／Ｏ要求を発行したプロセスがランチャ１１２を起源として起動されたプロセスであると判定し、プロセスの識別情報が前記ランチャ１１２の識別情報と異なれば、親プロセスを辿って、親プロセスの識別情報がランチャ１１２の識別情報と同一かを判定するので、プロセスを起動した起源のプロセスを確実に判定できる。

　また、アクセスコントロール機能１１５は、Ｉ／Ｏ要求の種別を判定し、Ｉ／Ｏ要求がファイルＩ／Ｏ要求である場合、ファイルＡＣＬ２０２を参照し、Ｉ／Ｏ要求のアクセス先によってＩ／Ｏの制御内容を決定し、Ｉ／Ｏ要求がネットワークＩ／Ｏ要求である場合、ネットワークＡＣＬ２０１を参照し、Ｉ／Ｏ要求の通信元及び通信先によってＩ／Ｏの制御内容を決定するので、Ｉ／Ｏの対象によって異なるルールを確実に適用できる。

　なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Solid State Drive）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

Claims (6)

1. 　プロセスを実行するプロセッサと、前記プロセスを実行するためのプログラムを格納するメモリとを有する計算機によって構成されるアクセス制御システムであって、
   　前記プロセスを起動するプロセスであるランチャと、
   　前記プロセスが発行するＩ／Ｏ要求の制御内容が定義されたＡＣＬファイルと、
   　前記プロセスの親を辿り、前記ランチャを起源として起動されたプロセスかを判定するプロセス探索部と、
   　前記ＡＣＬファイルに定義された内容に従って、前記ランチャを起源として起動されたプロセスが発行するＩ／Ｏ要求を制御するアクセス制御部とを有することを特徴とするアクセス制御システム。
2. 　請求項１に記載のアクセス制御システムであって、
   　前記プロセス探索部は、
   　前記Ｉ／Ｏ要求を発行したプロセスの識別情報を取得し、
   　前記プロセスを起動したプロセスの識別情報が前記ランチャの識別情報と同一であれば、前記Ｉ／Ｏ要求を発行したプロセスが前記ランチャを起源として起動されたプロセスであると判定し、
   　前記プロセスの識別情報が前記ランチャの識別情報と異なれば、当該プロセスの親のプロセスを辿って、さらに、前記親のプロセスの識別情報が前記ランチャの識別情報と同一かを判定することを特徴とするアクセス制御システム。
3. 　請求項１に記載のアクセス制御システムであって、
   　前記アクセス制御部は、
   　前記Ｉ／Ｏ要求の種別を判定し、
   　前記Ｉ／Ｏ要求がファイルＩ／Ｏ要求である場合、前記ＡＣＬファイルを参照し、前記Ｉ／Ｏ要求のアクセス先によってＩ／Ｏの制御内容を決定し、
   　前記Ｉ／Ｏ要求がネットワークＩ／Ｏ要求である場合、前記ＡＣＬファイルを参照し、前記Ｉ／Ｏ要求の通信元及び通信先によってＩ／Ｏの制御内容を決定することを特徴とするアクセス制御システム。
4. 　プロセスを実行するプロセッサと、前記プロセスを実行するためのプログラムを格納するメモリとを有する計算機におけるアクセス制御方法であって、
   　前記計算機は、前記プロセッサがプロセスを起動するプロセスであるランチャと、前記プロセッサが前記プロセスの親を辿るプロセス探索部と、前記プロセッサがＩ／Ｏ要求を制御するアクセス制御部とを有し、
   　前記計算機は、前記Ｉ／Ｏ要求の制御内容が定義されたＡＣＬファイルを格納し、
   　前記方法は、
   　前記プロセス探索部が、前記プロセスの親を辿り、前記ランチャを起源として起動されたプロセスかを判定し、
   　前記アクセス制御部が、前記ＡＣＬファイルに定義された内容に従って、前記ランチャを起源として起動されたプロセスが発行するＩ／Ｏ要求を制御することを特徴とするアクセス制御方法。
5. 　請求項４に記載のアクセス制御方法であって、
   　前記プロセス探索部は、
   　前記Ｉ／Ｏ要求を発行したプロセスの識別情報を取得し、
   　前記プロセスを起動したプロセスの識別情報が前記ランチャの識別情報と同一であれば、前記Ｉ／Ｏ要求を発行したプロセスが前記ランチャを起源として起動されたプロセスであると判定し、
   　前記プロセスの識別情報が前記ランチャの識別情報と異なれば、前記Ｉ／Ｏ要求を発行したプロセスの親のプロセスを辿って、さらに、前記親のプロセスの識別情報が前記ランチャの識別情報と同一かを判定することを特徴とするアクセス制御方法。
6. 　請求項４に記載のアクセス制御方法であって、
   　前記アクセス制御部は、
   　前記Ｉ／Ｏ要求の種別を判定し、
   　前記Ｉ／Ｏ要求がファイルＩ／Ｏ要求である場合、前記ＡＣＬファイルを参照し、前記Ｉ／Ｏ要求のアクセス先によってＩ／Ｏの制御内容を決定し、
   　前記Ｉ／Ｏ要求がネットワークＩ／Ｏ要求である場合、前記ＡＣＬファイルを参照し、前記Ｉ／Ｏ要求の通信元及び通信先によってＩ／Ｏの制御内容を決定することを特徴とするアクセス制御方法。

Images