| 研究課題/領域番号 |
24300009
|
|---|
| 研究機関 | 情報セキュリティ大学院大学 |
|---|
研究代表者 |
田中 英彦 情報セキュリティ大学院大学, その他の研究科, 教授 (60011102)
|
|---|
| 研究分担者 |
辻 秀典 情報セキュリティ大学院大学, その他の研究科, 准教授 (90398975)
橋本 正樹 情報セキュリティ大学院大学, その他の研究科, 助教 (10582158)
|
|---|
| 研究期間 (年度) |
2012-04-01 – 2015-03-31
|
| キーワード | OS / アクセス制御 / セキュリティ / 分散システム |
|---|
| 研究概要 |
本研究では、厳密且つ安全なアクセス制御機構を応用と基盤の協調により実現し、情報システムに階層的防御網を適用する新たなOS技術を提案する。その中核は、応用の実行状況等を考慮して動的に最小のアクセス権限を与える機構の提案と、その強固な実現手段、及びこれらを実用的なものとする、明快・簡便なポリシー記述・管理系の提案がその内容である。また、これらをLinux上に実装し、分散トランザクション処理やクラウド環境への適用法と有効性を示す。本研究の特徴は、従来OSでは粗すぎるアクセス制御により攻撃遅延・被害局所化が機能しない問題と、SELinuxに代表されるセキュアOSの細粒度アクセス制御は複雑すぎて実利用に耐えない問題の、両方を解決できることにある。
平成25年度は、各々のプロセスに付与するアクセス権限を動的に最小化する新規アクセス制御方式を検討し、この設計を行った。新規アクセス制御方式は、実際のプロセスやファイルが様々な状態を取り得る点に着目し、応用の実行状況等に合わせた最小のアクセス権限を指定し、これを確実に強制するように設計されている。同時に、当初の計画を変更し、新規アクセス制御方式を組み込んだ評価実験用システムの設計を行った。計画の変更は、状態分析・アクセス制御判定モジュールの実装をOSカーネル内からユーザ空間に移すことで、アクセス制御方式や、ポリシー設定の頻繁な変更・修正・テストを容易に行えることを狙ったものであるが、本研究の有効性評価は、全体モジュールをカーネル内に置いた場合の形として評価する計画である。また、この変更と合わせて、新規アクセス制御方式の適用対象についても考察し、現実の情報システムに抵抗なく適用可能とするために、既存システムからの移行方法や既存システムとの融合手法、仮想化技術への組み込み手法についても検討を行った。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
評価システムを変更するという計画の変更に伴い、平成25年度と平成26年度の実施内容を部分的に入れ替えたが、全体としてはおおむね順調に進展している。
|
| 今後の研究の推進方策 |
平成26年度は、前年度に設計したアクセス制御モデルをベースとする、分散型の細粒度アクセス制御アーキテクチャを実装し、その評価を行う。はじめに、細粒度の分散処理を記述可能とするためにポリシー記述言語を拡張し、その上で、国際標準であるSAMLモデルやXACML言語とのマッピング方式を検討する。その後、前年度に設計したグローバルな実験システムを実装し、提案するアクセス制御アーキテクチャの有効性検証と安全性評価を行う。また、現実の情報システムに抵抗なく適用可能とするために、既存システムからの移行方法や既存システムとの融合手法、仮想化技術への組み込み手法についても検討する。
|
| 次年度の研究費の使用計画 |
平成25年度と平成26年度の実施内容を部分的に入れ替えた。すなわち、H25年度の方式設計をH26年度に移し、H26年度の評価システム設計作業をH25年度に実施したため、平成25年度は実装のための費用が減少した。これに合わせて、学生と外部委託によるプログラム開発内容を修正した。
H25年度に残した作業は平成26年度に繰り越される予定で、そのための費用を直接経費次年度使用額として計上した。従って、直接経費次年度使用額として報告した金額は、平成26年度の学生謝金とソフトウェア作成委託費に充当する計画である。
|
