海外連携型調査研究

プロポーザル

 

１．調査研究のテーマ

 

オペレーティングシステムのセキュリティ機能に関する調査研究

 

２．そのテーマの戦略的意義／位置付け

 

ネットワークを介した不正侵入や個人情報の漏洩が多発しており，計算機システムのセキュリティの向上が求められている．特に，計算機の基盤ソフトウェアであるオペレーティングシステム(OS)は，計算機のハードウェアとソフトウェアの両方を制御するため，そのセキュリティを強化することにより，システム全体のセキュリティを向上することが期待できる．また，電子政府などの構築も行われており，どのようなOSを導入すべきかが大きな議論となっている．さらに，SELinuxに代表されるセキュアOSが注目を集めており，OSのセキュリティ技術への関心が高まっている．

本研究調査では，現在のLinuxなどのOS，およびセキュアOSのセキュリティ機能の調査を行い，現在のOSのセキュリティ機能を強化する技術の現状を明らかにする．また，現在のOSのセキュリティ機能に関する研究動向を調査し，今後のOSに求められる機能や技術について検討する．

 

 

３．調査研究の概要

 

本調査は，OSをベースとしたセキュリティ機能に関して，以下の項目に関して調査研究を行う．

(1)     アクセス制御機構

(2)     カーネルベース侵入検知システム

(3)     情報フロー制御

(4)     認証機能

(5)     バッファオーバフロー対策

(6)     ログ監査機能

 

本調査におけるこれら６つの領域は，研究チームによって調査する予定であり，国内外の学会での発表や企業からの製品を調査分析する．また，韓国では，従来からセキュアOSに関する研究が行われてきており，韓国での過去の研究実績や動向などをGwangju Institute of Science and Technologyのメンバーとともに調査する．Gwangju Institute of Science and Technologyのメンバーは，国際会議だけでなく，日本の国内会議でもその成果を積極的に発表しており，その研究能力は高い．また，調査結果を基に，今後のOSに求められるセキュリティ機能について検討し，その方向性を明らかにすることを目指す．SSRフォーラムの活動方針に従い，我々は，今年度末までにレポートを提供する．さらに，調査結果は全てウェブ上に保存する．

 

 

４．調査研究の進め方（共同研究者など）

 

調査グループ構成メンバーは以下のようである。

 

　主　査　　　櫻井　幸一　　　九州大学　大学院システム情報科学研究院

　メンバー　　田端　利宏　　　九州大学　大学院システム情報科学研究院

　　　　　　　                (http://itslab.inf.kyushu-u.ac.jp/index-j.html)

　　　　　　　R. S. Ramakrishna Department of Information and Communications,

Gwangju Institute of Science and Technology, Korea

　　　　　　　SHIN, Wook        Department of Information and Communications,

Gwangju Institute of Science and Technology, Korea

　　　　　　　KIM, Hyung Chan Department of Information and Communications,

Gwangju Institute of Science and Technology, Korea

　　　　　　　Cho, Ji Ho         Department of Information and Communications,

Gwangju Institute of Science and Technology, Korea

(http://nwcl.gist.ac.kr/~seecure/index.html)

 

５．関連発表論文

(1)      Katsuya SUEYASU, Toshihiro TABATA, Kouichi SAKURAI: "On the Security of SELinux with a Simplified Policy," Proc. of IASTED International Conference on Communication, Network, 　and Information Security (CNIS 2003), pp.79-84 (12, 2003).

(2)      末安 克也，田端 利宏，櫻井 幸一: "SELinux アクセス制御設定項目の安全な統合方法に関する考察，" 2004年 暗号と情報セキュリティシンポジウム (SCIS2004)，Vol.1，pp.287-292 (1, 2004).

(3)      鑪 講平，田端 利宏，櫻井 幸一: "プログラムの確率的挙動に基づく異常検知手法の実装，" 2004年 暗号と情報セキュリティシンポジウム (SCIS2004)，Vol.2，pp.1047-1052 (1, 2004).

(4)      Hyung Chan Kim (K-JIST), Wook Shin (K-JIST), R.S.Ramakrishna (K-JIST), Kouichi Sakurai (Kyushu University): “Conflicts of Role Based Access Control in Multi-domain Security,” 2004年 暗号と情報セキュリティシンポジウム (SCIS2004)，Vol.1，pp.481-486 (1, 2004).

(5)      田端 利宏，櫻井 幸一: "動的リンカを利用したユーザレベルアクセス制御機構の設計，" コンピュータセキュリティシンポジウム2003 (CSS2003) 論文集, Vol.2003, No.15, pp.457-463 (10, 2003).

(6)      末安 克也，田端 利宏，櫻井 幸一: "簡易化されたポリシに基づいたSELinux アクセス制御の安全性評価，" コンピュータセキュリティシンポジウム2003 (CSS2003) 論文集, Vol.2003, No.15, pp.253-258 (10, 2003).

(7)      鑪 講平，田端 利宏，櫻井 幸一: "確率ネットワークを用いたプログラムの異常動作を検知する手法，" コンピュータセキュリティシンポジウム2003 (CSS2003) 論文集, Vol.2003, No.15, pp.463-468 (10, 2003).

(8)      末安 克也, 田端 利宏, 櫻井 幸一, "UNIX/Linuxアクセス制御機構とSELinuxアクセス制御機構のセキュリティに関する比較"，電気関係学会九州支部連合大会(第56回連合大会), Sep. 2003.

 

６．Gwangju Institute of Science and Technology との過去の打ち合わせ内容

　これまでのGwangju Institute of Science and Technologyとの打ち合わせは以下の通りである．

■2003年12月22日

場所：光州科学技術院

参加者：田端，許，鑪（九州大学から3名），光州科学技術院から5名，NSRIから2名

・光州科学技術院の発表は2件

(1) Introduction to Trusted Operating Systems (Hyung Chan KIM)

  ・SecureOSグループメンバーの紹介

  ・Trusted OSの必要性の説明

  ・Trusted OSの構成要素の説明(Reference Monitor, Access Control)

  ・提案したセキュリティモデルと実装例の説明(BLP Model)

 [質疑]

 Q1: No.16 のmodeの意味は何か (田端)

 A1: read-only, read-writeなどのモード

 Q2: No.6 のReference Monitorはどのように実装してあるのか (田端)

 A2: Linux のLKM(loadable Kernel Module)の形で実装している．

     詳しくは次の発表で Mr. Shinが述べる．

(2) CSRL: A Trusted Operating System (SHIN, Wook)

  ・CSRL Projectの説明

大きく6つのテーマに分けられる．現在その中心となるThemis(Reference Monitor)の研究を中心に行っている．

  ・Themisの説明

    SELinuxの機能を用いて実装している．Kernel Based IDSを実装している．参考にしている文献は鑪も参考としていて研究の関連性が高い．

  ・概要

    1. Linuxでの実装は，LSM(Linux Security Module)を利用している．

       (実装を容易にするため．)

    2. アクセス制御ポリシの研究も現在行っている．

    3. 今後はSecure Smart-card / Embedded OS の研究を行う

       (ユビキタス環境を考慮)

 [質疑]

 Q1: Secure Embedded OSは，どのOSを利用して研究するのか(田端)

 A1: Linuxを利用する．新規に開発するよりも，既存OSを利用する方がよい．

 コメント: Linuxは大きく組み込みに向かないが，組み込み製品の性能も向上

           するのでいい選択肢ではないか．

 Q2: No.6のNormal Behaviorはどうやって生成しているのか(鑪)

 A2: New Mexicoの論文を参考にして実装をしている．

 

・ 九大側の発表は3件

(1) 櫻井研究室，システムLSIセンターの説明(許)

(2) 櫻井研のOS研究の説明(田端，鑪)

  (a) User Level Access Control Mechanism Using Dynamic Linker(田端)

    [質疑]

     Q1: どういうアクセス制御モデルを使うのか

     A1: 今回の研究は，プログラム実行時にユーザレベルでアクセス制御で

         きる機構の提案であり，既存のモデルを利用することを考えている．

 

     Q2: この方法だと動的リンカの仕組みを模倣したり，PLTやGOTの内容を

         書き換えたりした攻撃が可能ではないか．

     A2: 指摘された問題は確かに重要だと思います．攻撃について検討しま

         す．(実際にはPLTを書き換えられることはないので，攻撃の可能性

         は小さいと思います．GOTの整合性を確認することで対処可能です．)

     Q3: どうしてオーバヘッドが減るのか?

A3: カーネルでライブラリ単位の呼び出し関係を把握するには，スタックを再帰的に解析する必要がある．提案方式は実行時に観測したいところの情報だけを取得でき，すべての情報を解析する既存手法よりもオーバヘッドは小さいと考えられる．

  (b) On the Security of SELinux with a Simplified Policy(田端)

    [質疑]

     Q1: 話がよく分からなかったが，設定に欠陥があることが多いのか？

A1: SELinuxは設定が複雑なので，人為的ミスが発生しやすい．この問題を解決するには，設定項目を減らし，設定を簡単にすることがある．しかし，既存の簡易化手法ではセキュリティ上の問題が発生する．このため，安全な設定の簡易化手法を今後検討する．(CNISに比べ発表内容を省略したため，発表だけでは理解されなかったようです)

  (c) Secure OS Products(田端)

     Secure OSの調査内容について説明した．

  (d) Proposal of Probabilistic Method for Anomaly Program Detection  (鑪)

    [質疑]

     Q1: なぜベイジアンネットワークを使うのか

     A1: ベイジアンネットワークだと確率が遷移するので利用した．

 

■     2004年3月19，20日

・セキュアOSセミナー

　日時　：2004年3月19-20日

　場所　：韓国　光州　Kwang-Ju Institute of Science and Technology

　参加者：光州科学技術院(7人), NSRI (2人), 九州大学(4人)

・3月19日

　▼J.Y.Park

　  - "Data Protection in Mobile Agents; one-time key based approach"

ワンタイム対称鍵を利用することでエージェントの持つデータの完全性をフォワードセキュアに保つ方式。ワンタイム鍵はハッシュ関数によって生成される。データの暗号化にはDESを利用。ワンタイム鍵はエージェントオーナの公開鍵で随時暗号化されてエージェントと共に移動する。エージェントオーナはワンタイム鍵列を秘密鍵で復号化し、そのワンタイム鍵を用いてエージェントのデータを復号化する。

　　▽質疑応答

　　　Q.なぜDESを利用したのか？

　　　A.速度を重視した。他の対称暗号を利用することも可能。

　　　Q.前のホストでの実行結果を再利用したい場合はどうするのか？

　　　A.信頼できないホストがいることが前提で、他のホストとの連携は考えて

　　　　いない。今後の課題でもある。

　　　Q.ベースとしているエージェントシステムはなにか？

　　　A.オリジナルのX-mathというエージェントシステムを使っている。

　▼W.Shin

　  - "Procedural Constraints in the Extended RBAC and its Coloured Petri Net Modeling"

Procedural Restrictionsを利用したThe extended RBAC(RBBAC)についての発表およびColoured Petri Net(CPN)を用いたProcedural Constraintsのモデリングに関する発表。CPNはIDSにも利用されていて、遷移した状態の危険度を評価できる。提案方式は危険度を基にアクセス制御を行うモデルである。

■3月20日

　▼Y.Kotegawa

　  - "Security and Applications of Mobile Agents"

MAの利点と応用可能分野について述べ、トレースを用いたエージェントのデータの検証メカニズムを述べた。最後にMAを利用したIDSの導入について述べた。

　　▽質疑応答

　　　Q.トレースを用いたシミュレーションはどうやるのか？

　　　A.エージェントへの入力をトレースとして保存する。そのトレースを用い

　　　　て実際の実行と同様の処理を再び行う。

　　　Q.トレースは信頼できるのか？

　　　A.トレースはエージェントではなくサーバが送信する。サーバが送信した

　　　　トレースには署名がついており、それによって確認される。

　　　Q.マルチエージェントシステムとの比較調査はおこなったのか？

A.おこなっていない。マルチエージェントシステムではエージェントのホスト間移動は起こらないため、予めモバイルホストへIDSエージェントを導入しておかなければならない。また、クライアントサーバ方式と変わらないため通信コストが高くなる。一方、提案方式ではゼロの状態からIDSエージェントを導入できるし、通信コストもホスト内通信になるため削減できる。

　▼J.H.Cho

　  - "Security in Embedded Systems"

組み込みシステムにおけるセキュリティについての発表。セキュア組み込OSに求められる機能として、プロセス制御、メモリ保護、セキュアファイルシステムをあげていた。その中でも特にプロセス制御あつかっており、あらたなプロセス特権分離機構を提案していた。提案方式ではプロセスの関数に着目しており、特権が必要でない関数は優先度が下げられた実行空間で実行されるように構成されていた。

　　▽質疑応答

　　　Q.実際に携帯電話でiアプリなどのアプリケーションが携帯のOSの

　　　　クリティカルなメモリ空間にアクセスすることができるのか？

　　　A.できると考えている。

　　　Q.特権分離機構はソフトで実現するのか？それともハードで実現？

　　　A.ソフトで実現することを想定している。