(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2008)シンポジウム

セッション 4A  アクセス制御(1)(CSEC)
日時: 2008年7月10日(木) 8:30 - 10:10
部屋: ポラリス
座長: 福田 洋治 (愛知教育大学)

4A-1 (時間: 8:30 - 8:55)
題名機密情報の拡散追跡機能のソケット通信への適用手法
著者*植村 晋一郎, 田端 利宏, 谷口 秀夫 (岡山大学大学院自然科学研究科), 横山 和俊, 箱守 聰 (NTTデータ技術開発本部)
Pagepp. 768 - 775
Keywordセキュリティ, アクセス制御, ソケット, 情報漏えい検知, オペレーティングシステム
Abstract近年,機密情報が外部へ漏えいする事例が増加している.漏えいの経路としては,ネットワーク上へ流出する事例が増加傾向にある.我々は,プロセスの機密情報ファイルへのアクセスを契機として,機密情報が拡散する経路を追跡し,外部への漏えいを検知するという手法を提案し,機密情報の拡散追跡機能として実現している.この機能では,情報拡散の経路のうち,プロセス間通信による機密情報の拡散追跡機能については実現していない.そこで,本論文では,プロセス間通信の一つであるソケット通信において,機密情報の拡散追跡を行う手法を述べる.具体的には,ソケット通信において,送信データのやり取りを行うソケットを監視することによって,機密情報の拡散追跡と漏えい検知を行う.また,提案手法をLinux上に実装し,評価を行った.これにより,ソケット通信による計算機内部での情報拡散の追跡とネットワークを経由した情報漏えいの検知が行えることを示す.

4A-2 (時間: 8:55 - 9:20)
題名IDベース暗号によるアクセス制御方式
著者*小林 信博, 小俣 三郎, 宮崎 一哉 (三菱電機/情報技術総合研究所)
Pagepp. 776 - 781
KeywordIDベース暗号, セキュリティ, アクセス制御

4A-3 (時間: 9:20 - 9:45)
題名アクセス制御機能を備えたグラフィクス・システムの提案
著者*古市 実裕, 村瀬 正名 (日本IBM)
Pagepp. 782 - 789
Keywordアクセス制御, マルチレベルセキュリティ, グラフィクス
Abstract近年,内部統制の強化や個人情報保護のために,コンピュータリソースに対するアクセス制御をきめ細かく行う必要性が増している.特に,末端のクライアントPCにおけるアクセス制御機能は,基幹システムなどのサーバーサイドに比べて不十分であり,PCからの情報漏洩対策が急がれる. これまでにも,機密情報を含んだファイルへのアクセス制御や,クリップボードなどを介した情報のフロー制御を行う様々な方法が実用化されている.しかし,従来技術だけでは,情報の最終的な出力デバイスである画面上の画像情報を完全に保護することが困難であった.機密情報を含んだ画面上の画像は,どのプログラムからでも自由に読めるため,ファイルアクセスやプロセス間通信などの上流部分でいくら情報管理を行っても,最下流の画面上で保護を行っていない現状では,機密情報の漏洩を完全に防ぐことができない. 画面情報を保護する従来技術として,仮想化技術やセキュア・ウィンドウ・システムが存在する.仮想化技術を利用すれば,ゲストOS間の画面情報の隔離ができる.しかし,ホストOSからゲストOSの画面を自由に読むことができるため,ホストOSに悪意あるソフトウェアが潜んでいると,ゲストOS画面上の機密情報が不正に持ち出される危険がある.また,セキュア・ウィンドウ・システムや,仮想デスクトップ環境を導入すると,ウィンドウ単位やデスクトップ単位のアクセス制御が可能になる.ただし,ビデオメモリ上の画像データは保護されないため,バックグラウンドプロセスは自由に画像情報を読み取れる.また,近年,グラフィクスの性能向上に伴い普及した半透明ウィンドウなどのリッチなGUI環境では,機密情報を含むコンテンツが透過的に他のプログラムのウィンドウに表示されるため,単純なウィンドウ単位のアクセス制御だけでは不十分である.さらに,いずれの方法とも,既存システムとの親和性が低い点も,普及を妨げる要因となっている. そこで本稿では,情報の最末端出力デバイスであるグラフィクスのレイヤーでセキュリティを強化するために,グラフィクス・ドライバ上でセキュリティポリシーに基づいたアクセス制御を実現する新たな手法を提案する.具体的には,描画命令が実行されるたびに,どのような情報が描画結果に継承されるのかを,画像処理などの複雑なステップを踏まずに,描画命令の論理演算パターンだけから判断し,同時に画面やメモリ上の画像と1対1に対応するラベル付けされた領域マップを管理することで,画面に出力された画像全体の情報フローを制御する. より詳しく述べると,プログラムが画像データを書き込む際に,描画プロセスの属性や描画命令の内容に応じて,描画領域に対してセキュリティラベルを割り当てる.描画領域には,画面上の可視領域の他に,オフスクリーン・バッファ上の不可視領域も含む.ここで,本手法では,描画命令種別およびパラメータを解析し,描画命令を,描画領域の既存画像(Destination),描画演算の処理対象画像(Source),パラメータで指定された画像要素(Pattern)の3要素間の論理演算のパターンに分類する.分類したパターンに応じて,描画命令実行後にどの画像情報が残されるかを判定し,判定結果に応じてセキュリティラベルを割り当てる. プログラムが画面上またはオフスクリーンバッファ上の画像データを読み込む際は,プロセスのセキュリティラベルと,読み込もうとする画面領域のセキュリティラベルとを比較し,読み込み命令の可否を判定する.画面領域のセキュリティラベルが,読み込みプロセスのセキュリティラベルより高い場合は,読み込み命令を失敗させるか,あるいは,領域内の画像情報が,セキュリティラベルの低いプロセスに伝わらないように,墨塗りやマスク処理した画像データを返す. 提案手法では,数百から数千種類存在する複雑な描画命令を,高々256通りの抽象描画パターンに集約し,パターンと領域マップを照合してアクセス制御を実現するため,演算量・メモリ消費量ともに極めて負担が少ない.提案手法により,画面上に出力された機密情報は,適切なセキュリティラベルを割り当てたプログラムしか読み出せなくなるので,悪意あるプログラムは,画面上の機密情報画像を取得できない.その結果,画面スナップショットを介して機密情報が漏洩する危険性を解消できる. 提案手法の実装例として,Windowsにおけるグラフィクス・フィルタ・ドライバへの適用例を紹介する.ドライバインターフェースを維持することで,既存のOSやアプリケーションを修正せずに,グラフィクス・ドライバのレイヤーだけでアクセス制御を行なう高い汎用性を実現できる.

4A-4 (時間: 9:45 - 10:10)
題名クライアント単独で利用時間を厳密に管理でき、クライアント同士で利用権を委譲できるシステムの提案
著者*五百蔵 重典, 速水 治夫 (神奈川工科大学)
Pagepp. 790 - 794
Keyword著作権管理, 認証技術, アクセス制御, ネットワークプロトコル, マルチメディアネットワーク
Abstract1. はじめに コンピュータおよびネットワークの発展に伴い,ネットワーク経由でデジタルコンテンツを扱うことが多くなってきている。デジタルコンテンツは配布や複写が容易であるが、著作権者の権利を保護するのが難しいという欠点がある。そこで我々はデジタルコンテンツを期限付きで扱えるシステムを開発し、様々な応用例に適応できるよう開発・改良を進めている。 我々が数年にわたって開発してきているシステムの特徴として、利用者がシステムを利用できる時間(以下、利用権)をクライアント単独で管理できることがあげられる。図書館システムは、利用可能な期間(終了時間)を厳密に管理するシステムで、デジタルコンテンツを図書館的に共同利用するシステムである。強制返却機能を備えている。オンライン試験システムは、利用可能な期間(開始期間と終了期間)を厳密に管理、ユーザが入力した内容とその入力時間を厳密に管理することで、試験開始前に試験問題配布するが試験時間内でのみ閲覧・解答が可能なため、試験時間を厳密に確保できるシステムである。我々はこのシステムを拡張して、決済権の委譲が行える決済システムを作成することを目指す。 2. 決済システム 2.1 決済システムに求められる要件 コンピュータを利用した決済システムが増えてきている。決済処理には、決済者を認証するシステムが不可欠であり、パスワードなどを使って認証するのが通常である。決済者が出張などで長期不在の場合、決済処理が滞ってしまうため、決済を委託するためにパスワードを教えることが良く行われている。パスワードを他人に教えることがセキュリティ上好ましくないのは、言うまでもない。 デジタルコンテンツの期限付き扱えるシステムを応用することで、決済権を委譲する仕組みを実現し、パスワードを他人に教えなくてすむシステムの作成を目指す。決済システムの実現にあたっては、決済権の委譲の他に、委譲手続きをサーバの力を借りず、すなわちサーバは委譲されたことを知らずに委譲手続きが行えることが望ましい。そこで本研究では、クライアント側で決済権の管理および利用権のやり取りをできるシステムを提案し、有用性を実証する。 2.2. 決済システムの概要 本提案システムでは、図書館システムおよび試験システムと同様、トークンと呼ばれる「PCと接続可能であり,携帯可能な大きさであり,一般ユーザが変更できない時計を内蔵しており,一般ユーザが書き込めない機能」を持つ機器をそれぞれのユーザが所有していると仮定する.トークンの試作品は完成しており、大きさはクレジットカードサイズ(D80×W50×H15)で、重さは45gである。 トークンは一般ユーザが書き込めない耐タンパー領域および一般ユーザが変更できない時計を持っているので、認証用パスワードを有効期限付きで管理するこが可能である。しかしセキュリティ的な面からパスワードをコピーすることは望ましくない。そこで、権限を委譲する期間でのみ使用する情報を渡すことでセキュリティを維持したプロトコルを提案する 2.3決済システムのプロトコルの概要  正規ユーザは認証用の秘密鍵を持っているとし、サーバは公開鍵を持っているものとする。認証するための手順は以下のとおりである。 時刻と時刻の署名をサーバに送信する サーバは、時刻と現在時刻を比較 ・ 差が許容範囲ならへ ・ 差が許容範囲を超えていたら、認証失敗 時刻の署名が正しいか確認 ・ 署名が正しければ、認証成功 ・ 署名が正しくなければ、認証失敗 そして、権限を委譲されたものは、この認証プロトコルで必要な、委譲された期間内での時刻と時刻の署名の組を複数持つ。このプロトコルは、以下の特長によって、委譲を実現している。 ・ 正ユーザは任意の時刻で、[時刻、時刻署名]の組を出力できる ・ 委譲者は、委譲された時刻でしか[時刻、時刻署名]の組を出力できない  プロトコルの説明で出てきた許容範囲は、セキュリティを強化したい場合は短い間隔にするなど、調整が可能である。 2.4 提案方式実現に向けて  本提案システムを実現するためには、以下に述べる課題をクリアする必要がある。紙面の都合上、具体的な解決策は省略し、この問題の難しさ(課題)について述べる。 1. 図書館システム、試験システムでは、トークンに大事な情報を書き込むためには、サーバの支援を必要としていた。本提案システムを実現するためには、クライアント同士でデータをやり取りすることができないといけない。 2. [時刻, 時刻署名]の組をどれくらいの間隔で保持するかと、プロトコルで示された許容時間をどの程度に取るのが適切かは、密接に関係してくる。[時刻, 時刻署名]の組を細かい間隔で保持すれば認証時の問題はなくなるが、多くの記憶領域を必要としてしまうため、このバランスを取る必要がある。