• 検索結果がありません。

共有ファイルのアクセス制御による高精度文書監視方法の提案

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "共有ファイルのアクセス制御による高精度文書監視方法の提案"

Copied!
2
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 2 ページ )

全文

(1)情報処理学会第68回全国大会. 1D-6. CyberTrace:共有ファイルのアクセス制御による高精度文書管理 髙橋. 宏幸†. 喜田. 弘司††. 坂本. 久††. サーバソフトウェア事業部† システムテクノロジーラボラトリ†† NEC システムテクノロジー株式会社. 1. はじめに 近年企業内で作成される文書の大半は、電子フ ァイルの形式であり、ファイルサーバに保管/ 共有されている場合が多い。したがって、特に 機密情報が含まれるファイルは、セキュアに共 有する仕組みが必要である。しかし、従来のア クセスコントロールだけでは、内部からの情報 漏えい対策としては不十分である。内部からの 情報漏えい対策には、共有ファイルを閲覧でき る手段を制限するとともに、ファイルの閲覧を 許可された人物のファイルの閲覧を監視するこ とが重要である。 本稿では、共有ファイルの情報漏えい対策に着 目し、高精度な監視方式と、本方式を利用した 文書の保護やログの活用方法を説明する。. 2. 共有ファイルの漏えい対策の課題 従来、機密情報を記録したファイルをサーバ上 で共有する場合、OS 及びファイルシステムの ACL(アクセスコントロール)や、ファイルと共に ACL を保管する技術などにより、ファイルを閲覧 できる人物を制限することは可能であった。し かし、ファイルの閲覧方法には様々な方法があ り、閲覧を許可された人物がファイルを閲覧し た場合に確実に記録に残すのは困難であった。 例えば、あるプログラム内でファイルにアクセ スした記録を採取したとしても、それ以外のプ ログラムでファイルにアクセス手段がある場合、 その操作は記録に残すことができない。(図 1). した場合、そのログは低レベルな内容となり、 解析やその後の再利用が困難なものとなる。. 3. 共有ファイルの監視/保護技術 共有ファイルの監視は、ファイルにアクセスす る他の手段が存在すれば、特定のプログラムで ログを記録していても意味のないものとなって しまう。したがって、ファイルを取得する専用 のプログラム以外から、ファイルにアクセスす る手段を可能な限り排除する必要がある。 以下の手段(図 2)により、機密情報を記録した ファイルにアクセスできるプログラムを一つだ けに限定し(以降これをファイルアクセスプログ ラムと呼ぶ)、他のプログラムからはアクセスで きないようにすることで、権限のある人物がフ ァイルを取得した場合に、より精度の高いログ を残すことを可能とする。 クライアントプログラム ①ファイル取得要求. ファイルアクセスプログラム ⑤ログ出力 ②ユーザ認証. ユーザ認証機能 ファイル配置仮想化機能. アカウント データベース. ユーザ偽装機能. ログ出力機能. 暗号/復号化機能. ログ データ ベース. 専用ユーザ ③専用ユーザに ユーザ偽装して ファイルアクセス. 一般のユーザプログラム アクセスできない. ファイルシステムACL ACL(暗) ファイル. 専用ユーザのみが アクセス可能 ④ファイルアクセスプログラムが 復号し、アクセス許可を確認. 共有フォルダ. 図 2.監視/保護方式. 図1.アクセスログ採取の問題 Monitoring important documents by controlling accesses in a shared file System Hiroyuki Takahashi, Koji Kida, Hisashi Sakamoto, NEC System Technologies, Ltd.. また、すべてのファイルアクセスをログに採取. 3-35. (1) サーバ上に、専用ユーザアカウントを作成する。 このユーザアカウントは、OS に対話的にログ オンすることができないユーザとして作成し、 このユーザのパスワードは、ファイルアクセス プログラムのみが知っているものとする。 (2) ファイルのファイルシステム上の ACL は、専用 ユーザのみがアクセス可能な状態にする。 (3) ファイルシステム上の ACL とは別の ACL がファ イル内に付加されて保存されている。 (4) ファイルアクセスプログラムは、ユーザ認証を 行った後、プロセス(スレッド)を専用ユーザア カウントに偽装してファイルを読み込み、ファ イル内に付加されている ACL と認証済みのユー.

(2) 情報処理学会第68回全国大会. ザ情報を比較し、アクセス可否を決定する。 この制限を施すことにより、一般のユーザプロ グラムから対象のファイルにアクセスすること はできなくなる。ただし、OS には、ファイルシ ステムの ACL を無視する特権が存在するため、 さらに以下の保護対策が必要となる。 (5) ファイル、およびファイルに付加されている ACL は暗号化して保存し、ファイルアクセスプ ログラムのみが復号可能とする。 (6) ファイルの配置構造を仮想化し、実際のファイ ル名は、ユーザから見えるファイル名とは異な る名前で保存する。. なお、ファイルのデータおよび、ACL は暗号化機 能により暗号化されて格納される。. 4. 本技術を利用したシステム例. 権限のある人物がファイルを取得した場合、フ ァイルアクセスプログラムはクライアントプロ グラムとの連携により、日時やユーザ名、クラ イアントマシンの情報(マシン名、IP アドレス 等)とともに、どのファイルをクライアントのど こ(保存フォルダ名等)に持ち出したかをログデ ータベースに記録する。これにより、高精度な 監視ログを残すことが可能となる。. 前節の方式を利用したファイルの保護とログの 記録(監視)を実現するシステム例を説明する。. 4.1 ファイルの保護 ファイルアクセスプログラムを経由しないプロ グラムは、ファイルが特定できず、また閲覧も できないよう保護する。ファイルシステムフィ ルタドライバにより対象ファイルへのイベント を監視し、ファイルアクセスプログラム以外の プロセスからのアクセスを拒否する技術の併用 により、さらに強度を上げることも可能である。 まず、ファイルアクセスプログラム専用のクラ イアントプログラムを用意する。サーバ共有フ ォルダ内ファイルは、図 3 のように、クライア ントプログラムに対して、ファイルを仮想的に フォルダのツリー構造として見せる。 サーバ実データイメージ. クライアントプログラム側イメージ. ? 936DA01F-9ABD-439D-80C7-02AF85C822A8. W. ? C45D4ABF-15DE-52A4-123C-1549654F2D33. X. ? 001AD001-0001-1145-0003-004A45F654C1 ? 24987A45-FF14-2CDE-A1A1-00000128214C ? 0000012D-A1BC-221E-0156-98571035D41B. W. •フォルダ内のサブアイテム •Folder B. (実ファイル:18ACB256-4876-….). •文書1.doc. (実ファイル: 24987A45-FF14-….). •フォルダのアクセス権: •¥Domain1¥group1. [許可]フルコントロール •¥Domain1¥group2 [許可]読み込み •¥Domain1¥group3 [拒否]フルコントロール. 4.2 ログの記録. 4.3 ログの活用 ログの記録により、ファイルが、いつ、誰がど こに持ち出したかを特定できる。また、クライ アントマシン上で操作を監視し、ログを記録す るシステムが多数存在する。ログビューアプロ グラムを用意し、両者のログを連携して表示さ せることにより、持ち出されたファイルがその 後どうなったかを特定することも可能となる。 ログ データ ベース. ファイルアクセス プログラム. FolderB. 文書1.doc. 図 4.仮想フォルダ定義ファイルのイメージ. FolderA. ? 18ACB256-4876-1405-E1DF-01235D5A8235. W. <items> <item name=“Folder B” type=“folder” id=“18ACB256-4876-…” date="2004/06/26/16:39:40" /> <item name=“文書1.doc” type=“file” id=“24987A45-FF14…” date="2004/06/26/16:39:40" size="804152" /> </items> <security> <ctAcl> <ctAce type=“allow” access=“000FFFFF” role=“¥Domain1¥group1”/> <ctAce type=“allow” access=“00000081” role=“¥Domain1¥group2”/> </ctAcl> </security> </folder>. ? 7481AD43-02DF-1258-4587-474D4F75E75A ? 936DA01F-9ABD-439D-80C7-02AF85C822A8. Folder B. <?xml version="1.0" encoding="utf-8" ?>. ?<folder> 936DA01F-9ABD-439D-80C7-02AF85C822A8. 共有フォ 共有フォ ルダ ルダ. (ファイル格納領域). FolderA. ? 7481AD43-02DF-1258-4587-474D4F75E75A. ログビューアプログラム. サーバから持ち 出されたファイル が、その後印刷 やコピーされた等 を確認できる. 文書2.doc 文書3.xls. クライアント プログラム. 文書1.doc. FolderC. コピー 印刷. 図 3.ファイル構成の仮想化. 操作監視(ログ記録)を行うシステム. 図 4 のように、クライアントプログラムでの仮 想的なフォルダは、実際には XML ファイルとし て格納する。XML ファイルは暗号化して格納され、 ファイルアクセスプログラムのみが復号できる。 このファイルには以下が記述される。 ・ 仮想フォルダ配下に含まれるファイル、および サブ仮想フォルダのリスト。このリストにはク ライアントプログラムから見える仮想的なファ イル名、またはフォルダ名と、それに該当する サーバ上の実ファイル名がペアで記述される。 ・ 仮想フォルダの ACL。 また、クライアントプログラムから見た仮想的 なファイルは、サーバのフォルダ内ではファイ ルのデータに ACL を付加した形で格納される。. 3-36. 図 5.ログの活用例. 5. まとめ 本稿では、権限のある人がファイルを取得した 場合に精度の高いログを残せる方式を提案した。 特長は、ファイルを取得する専用のプログラム を提供することと、他のプログラムからファイ ルにアクセスできないようにする技術を有して いる点である。本方式は、企業内部の人物から の漏えい抑止や高度にセキュリティが要求され るファイルの管理等の用途に有効である。.

(3)

参照

今ダウンロードする ( PDF - 2 ページ - 381.09 KB )

関連したドキュメント

ユーザーマニュアル

1 か月無料のサブスクリプションを取得するには、最初に Silhouette Design Store

自治体監査と会社法上の監査との対比

対象自治体 包括外部監査対象団体(252 条の (6 第 1 項) 所定の監査   について、監査委員の監査に

Microsoft Word - Allbirds_Product_Carbon_Footprint_Methodology_JP (1).docx

本文書の目的は、 Allbirds の製品におけるカーボンフットプリントの計算方法、前提条件、デー タソース、および今後の改善点の概要を提供し、より詳細な情報を共有することです。

フィッシング対策ガイドライン 2022 年度版 フィッシング対策協議会

すべての Web ページで HTTPS でのアクセスを提供することが必要である。サーバー証 明書を使った HTTPS

主催 : 東京都環境局/東京都冷凍空調設備協会

電子式の検知機を用い て、配管等から漏れるフ ロンを検知する方法。検 知機の精度によるが、他

原子炉圧力容器・格納容器ホウ酸水注入設備 4.1

この設備によって、常時監視を 1~3 号機の全てに対して実施する計画である。連続監

地理的表示と商標登録の制度設計

告—欧米豪の法制度と対比においてー』 , 知的財産の適切な保護に関する調査研究 ,2008,II-1 頁による。.. え ,

田中久智

積極的一般予防は,この観点で不法な犯行に対する反作用の説明原則をな