インプレス ビジネスメディア
個人情報保護法から見るセキュアOSの必要性 2

強制アクセス制御のしくみ

強制アクセス制御のしくみ

強制アクセス制御の実装方式には、以下の3つ(Windows用を別と考えれば4つ)があります。

  • カーネルパッチ方式
  • LSM(Linux Security Module)方式
  • LKM(Loadable Kernel Module)方式

それぞれの方式を従来のOSの図(図1)とからめて説明します。

カーネルパッチ方式

OS(カーネル)にパッチを当てて、図2のようにシステムコールで呼ばれる関数内部にセキュリティチェック処理を入れ込む方法です。恐らく最も直感的な方法でしょう。関数Aのインターフェイスの部分には手を加えていないため、従来のOSとの互換性は保たれています。
カーネルパッチ方式
図2:カーネルパッチ方式

LSM(Linux Security Module)方式

LSMは、Linux Kernel 2.6から標準導入された、強制アクセス制御を実装するためのフレームワークです。

LSMが導入されたOSでは、システムコールで呼ばれる関数内部に、あらかじめ図3の(4)のようなLSMチェック呼び出しが入っています。セキュ アOSはセキュリティモジュールとして実装されます。(4)LSMチェック呼び出しの際に、セキュリティモジュール内の(5)セキュリティチェックが行わ れます。カーネルパッチ方式と同様に、インターフェイスの部分には手を加えていないため、従来のOSとの互換性は保たれます。
LSM方式
図3:LSM方式

この記事をシェアしてください

前の記事

個人情報保護法とセキュリティ対策

次の記事

セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS

バックナンバー

セキュアOS紹介(3)〜 SELinux

2005年3月23日 20:00

  • セキュリティ
  • 技術解説

セキュアOS紹介(2) 〜 Trusted SolarisとPitBull

2005年3月16日 20:00

  • セキュリティ
  • 技術解説

セキュアOS紹介(1) 〜 MIRACLE HiZARDとLIDS

2005年3月9日 20:00

  • セキュリティ
  • 技術解説

セキュアOSとは

2005年3月2日 20:00

  • セキュリティ
  • 技術解説

個人情報保護法とセキュリティ対策

2005年2月23日 20:00

  • セキュリティ
  • 技術解説
バックナンバーをもっと見る

この記事の筆者

才所 秀明

Linuxコンソーシアム セキュリティ部会リーダー

日立ソフトエンジニアリング(株) 技術開発本部研究部にて、セキュリティ関連研究に従事。現在セキュアOS「SELinux」の調査研究を担当。セキュアOS「SELinux」の普及推進を目指し、講演、執筆、WG活動などにおいて活動中。
日本オープンソース推進機構 SELinux専門委員会メンバー
Linuxコンソーシアム理事兼セキュリティ部会リーダー

才所 秀明 のプロフィールを見る

筆者の人気記事

セキュアOSの動向

2005年11月2日 20:00

セキュアOS紹介(3)〜 SELinux

2005年3月23日 20:00

セキュアOSとは

2005年3月2日 20:00

業界情報やナレッジが詰まったメルマガやソーシャルぜひご覧ください

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

これは広告です

新着記事

位置情報の基本中の基本となる「点」の情報の扱い方を学ぼう 6:30 Kubernetesコミュニティのグループ構成と活動領域の見つけ方 6:30 AIには別の顔を見せるWebサイト: エージェントを狙う間接プロンプトインジェクション 12月4日 6:30 【CNDW2025】なぜCloudNative DevSecOpsを推進するのか? 米軍の事例が示す「速度と安全性」の必然 12月4日 6:00 【序論】なぜ今、監視は「再発見」されるのか 12月3日 6:30

人気記事トップ10

外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう AI搭載のスマートグラス「Even G2」が国内発売ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? オープンソースの電子書籍管理ソフト「Calibre 8.15」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 「Rocky Linux 10.1」リリース IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 米Red Hat、「Red Hat Enterprise Linux 9.7」を発表 AI時代のエンジニアに求められるものとは?「生き残る」ためのキャリア戦略
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 【序論】なぜ今、監視は「再発見」されるのか 「AIを導く」のはオープンソース ー実証に基づいた明確な解を示したレポート「ソブリンAIの現状」を公開 Linuxカーネル「Linux 6.18」リリース メガネ型オーディオが特別セール実施中、Metaが新モデル群を公開ほか 日本初開催の「KubeCon+CloudNativeCon Japan 2025」、ボランティア視点で運営の裏側をちょっとのぞいてみた話
AI搭載のスマートグラス「Even G2」が国内発売ほか 外部から「WSL1/2」のサーバーにネットワークアクセスをしてみよう 新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? Linux Foundation Education、無料オンラインコース「Linuxカーネル開発 初心者向けガイド」の提供を開始 【ビジョンなき導入の末路】データが暴く日本企業の課題と次の一手 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 世界中の「欲しい」を10秒で叶える ─株式会社SAZOが描く越境ECの新時代 「Terraform」でコードをモジュール化して、環境を分離することで適切に管理しよう IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 【序論】なぜ今、監視は「再発見」されるのか
人気記事ランキングをもっと見る

企画広告も役立つ情報バッチリ! Sponsored

新たな自動化で熱視線! AIエージェントの「推論能力」を支える2つのコンポーネントとは? 11月28日 6:30 IoTに生成AIを掛け合わせる「AI-driven IoT」で現場のIoTデータ活用を加速 11月26日 6:30 アイレット、KDDIの属人化問題を生成AIアシスタントの精度を高め解消へ 11月21日 6:30 「Grafana Cloud」の先進的ユーザーであるグリーが10年をかけて到達した「オブザーバービリティ」とは 5月15日 6:30 Grafana Labs CTOのTom Wilkie氏インタビュー。スクラップアンドビルドから産まれた「トラブルシューティングの民主化」とは 4月21日 6:30 API管理をより簡単にする「Kong Konnect」が解決する課題とその主要機能 3月5日 5:30 目指すはプロセス連結によるサイロ化の打破! ガバナンス強化にも寄与する自動化プラットフォームとは 1月15日 6:30 AIで激変する「DevOpsの未来」と「IT組織のリーダーが備えるべきこと」とは 2024年11月26日 8:53 仕様書からテストケースを自動生成! Autify Genesisが変えるソフトウェアテストの未来 2024年11月21日 8:04 LLMを自由に切り替え! Kongが提案するAIゲートウェイ活用法 2024年11月15日 6:12