| 研究概要 |
本研究では,情報システムのアクセス制御をOSによって保護される共通機構で実現するアーキテクチャを開発する.研究の初年度となる平成21年度は,アクセス制御の根拠となるポリシーについて,汎用的に表現して構成することができるポリシー記述言語を,まずは単一システム向けに設計した.また,それによって表現された複数のアクセス制御規則を連携させてアクセス制御情報DBを構成する手法を明らかにし,その各種評価を行った.
従来のポリシー記述方式では,ローカル環境のOSや応用に閉じたアクセス制御規則を記述対象としているため,複数の領域間でアクセス権を連携させる場合は,アクセス権同士を相互にマッピングして対応していた.また,個々のアクセス制御規則を独立に記述・羅列するような記述方式であったため,膨大な量のアクセス権を記述すると可読性と保守性が著しく低減する問題もあった.その結果,ポリシーの適用範囲を広げるほどアクセス制御の粒度を粗くせざるを得なくなり,セキュリティインシデント発生時の被害範囲を大きくする要因となっていた.
それに対して,提案したポリシー記述方式では,属性の継承・頻出手続きの構造化といった高レベル記述や,推論規則を用いることで,細粒度のアクセス制御規則を簡潔に表現することを可能とした.さらに,本言語は,アクセス権記述の適用範囲を将来分散処理に拡大する場合に備えて,各アプリケーションのシステムコール呼び出しをモニタして蓄積し,その履歴をプロセス毎の状態同定に用いることで,多種多様なアクセス条件を柔軟・簡潔に表現する汎用的な記述方法となっている.各種の評価実験により,本言語の高記述性が確認された一方で,応答性能の劣化が見られたが,これについては実装方式の工夫により次年度以降の研究で解決する計画である.
|
