a survery of approaches to adaptive securityの紹介

Copyright 2012 GRACE Center All Rights Reserved.

A Survey of Approaches to Adaptive

Securityの紹介

Nobukazu Yoshioka

2 Copyright 2012 GRACE Center All Rights Reserved.

Survey Paper

A Survey of Approaches to Adaptive Security Ahmed Elkhodary & Jon Whittle (George mason University)

International Workshop on Software Engineering for Adaptive and Self-Managing System (SEAMS’07)

Contributions Adaptive Securityの対応度合いを評価するための６つの

Dimension（軸）を規定 Security Service：

Tolerance軸, Authorization軸, Authentication軸

Adaptation Model:

Computational Paradigm軸, Reconfiguration Scale軸, Conflict Handling軸

従来の提案（4事例）をこの尺度で評価

将来の研究の方向性を示す

MDD+Adaptation

3 Copyright 2012 GRACE Center All Rights Reserved.

Adaptive Securityの側面

Adaptive Security Serviceの評価基準

セキュリティのためのサービス：

1. Authentication(認証）

Identification（本人識別）とnon-repudiation（否認不可）を実現するためのサービス

2. Authorization（認可）：リソースのアクセスの制御

Confidentiality（機密性）とIntegrity（完全性）を実現するためのサービス

3. Tolerance（Failureからの復帰するためのサービス）

Availability（可用性）を実現するためのサービス

分散ＤＢなど

※発表者注：データやネットワークの暗号化サービス、署名サービス、鍵管理サービス（CA)、ログサービス、マルウェア検知サービスなどは考えないのか？

4 Copyright 2012 GRACE Center All Rights Reserved.

セキュリティサービスの観点でのAdaptation

Level

Authentication方法を脅威やユーザの信頼度に応じて 実行時に変更できる：パスワード、バイオ、ＩＤカードなど

アクセス制御ポリシーを動的に変更できる：システム全体, ユーザ特化

Fault toleranceかつIntrusion tolerance（侵入に耐えられる）

5 Copyright 2012 GRACE Center All Rights Reserved.

Adaptive Methodの側面

Computational paradigmの評価基準 振る舞いの変更にどれだけ柔軟性があるか？

Reconfiguration Scaleの評価基準 変更できる範囲はどれだけか？

Conflict Handlingの評価基準 設定間の競合、矛盾をどこまで自動的に

解消できるか？

6 Copyright 2012 GRACE Center All Rights Reserved.

Computational paradigmの評価基準

1. Parameterization：動的に振る舞いをパラメータで変更

すべての変化をあらかじめ設計

2. コンポーネントベースで合成：動的に構成要素を組み換え

3. Reflection：振る舞い（実装）をモニターして修正

メタレベルの記述

4. アスペクト指向：変更を動的に織り込み Reflectionよりも開発効率と運用性が向上

7 Copyright 2012 GRACE Center All Rights Reserved.

Reconfiguration Scaleの評価基準

1. Single-unit：一か所のコンポーネントもしくはサービスのみ変更

2. Inter-unit：複数の構成を変更（※説明なし）

3. Architecture-wide：システムの構成要素間も変更

8 Copyright 2012 GRACE Center All Rights Reserved.

Conflict Handlingの評価基準

設定間の競合や目的の矛盾を検知して解消する能力

1. ユーザ駆動で競合を解消：エンジニアが決定

2. 自動で競合を解消：エンジニアの決定を埋め込み 直観に反したり、柔軟性に欠けることもある

3. インタラクティブに競合を解消 簡単な競合は自動で解決、複雑な競合はエンジニアに問い合わせ

Copyright 2012 GRACE Center All Rights Reserved.

Adaptive Application-Security

Approaches

４つの事例でAdaptationの度合いを評価

10 Copyright 2012 GRACE Center All Rights Reserved.

事例１：Extensible Security Infrastructure

モバイルプログラムのセキュリティポリシーの変更を可能にする基盤

論文：Brant Hashii, Scott Malabarba, Raju Pandey, Matt Bishop: Supporting reconfigurable security policies for mobile programs. Computer Networks 33(1-6): 77-93 (2000)

リソースへのアクセス制御ポリシーを変更

(event, condition, response)

動的に変更したポリシーに従ってリソースにアクセス許可

11 Copyright 2012 GRACE Center All Rights Reserved.

Extensible Security Infrastructure

Adaptation Level セキュリティサービスレベル

Adaptive authorization：アクセス制御を動的に変更可能 ☹ Authentication, Availabilityの対応はなし

✔

✔ ✔

✔

✔

✔ アクセス制御に矛盾があった場合は、ルールの優先順によって解決

12 Copyright 2012 GRACE Center All Rights Reserved.

事例２：Strata Security API

Strata: プログラム実行を命令ベースで変更可能なプラットフォーム Software Dynamic Translation (SDT)を応用

セキュリティ以外にも最適化やプロファイラーにも応用

特定のコードを置き換え OS (システムコール）レベル

13 Copyright 2012 GRACE Center All Rights Reserved.

Strata Security API

Adaptation Level

セキュリティサービスレベル ☹ 書こうと思えば何でも書けるが記述が低レベル

？

✔ ？

✔

✔

ワイルドカード記述ができない

コンポーネントの合成も書ける

☹

14 Copyright 2012 GRACE Center All Rights Reserved.

事例３：The Willow Architecture

動的制御のためのフレームワーク 故障やアタックされた機能を切り離すことにより

Survivabilityを実現

構成要素： 1. Control Loop：Monitor, Diagnose, Coordinate and

Reconfigureの機能を持つ 2. Proactive制御：管理者が設定を動的に変更可能 3. Reactive制御：有限状態遷移図に基づき、エラー

状態に遷移した時に振る舞いを自動変更 4. Priority Enforcer：複数のControl Loopによる設

定変更要求があった場合、要求に優先度をつけた後に、分散設定

5. 防衛機能：制御メカニズムや制御データを攻撃から防御

6. 通信機能：効率の良いイベント通知サービスを使った通信

15 Copyright 2012 GRACE Center All Rights Reserved.

The Willow Architecture

Adaptation Level セキュリティサービスレベル

Fault toleranceとIntrusion toleranceの両方を実現 ☹ AuthenticationとAuthorizationをどう変更するかは規定していない

✔

✔

✔

☹

コンポーネントの中を変更できない

コンポーネント間の関係を変更可能

✔ ✔

✔

16 Copyright 2012 GRACE Center All Rights Reserved.

事例４：Adaptive Trust Negotiation

Framework

動的なアクセス制御とトラスト交渉のためのフレームワーク

構成要素：

GAA-API：脅威レベルに応じてアクセス制御ポリシーを変更

TrustBuilder：証明書に基づくユーザの信頼度に応じて認証方式を変更

17 Copyright 2012 GRACE Center All Rights Reserved.

Adaptive Trust Negotiation Framework

アクセスできるかどうか判定

証明書で信頼度を決定

18 Copyright 2012 GRACE Center All Rights Reserved.

Adaptive Trust Negotiation Framework

Adaptation Level

セキュリティサービスレベル AuthenticationとAuthorizationを動的に変更

✔

✔

✔

☹

Threat-levelとSuspicion-levelで判断

信頼度に基づく制御により間接的貢献

✔ ✔ ？

19 Copyright 2012 GRACE Center All Rights Reserved.

Future Work

1. すべてのセキュリティサービスをサポート

2. Adaptationに関する運用性や再利用性の向上

3. Single-unit, inter-unit, architecture-wideの設定変更の統一性のある形式化

4. 自動化とインタラクティブな競合解消に関する生産性と柔軟性のトレードオフ分析

所感：

セキュリティサービスレベルを、非機能要求とそれを支える機能・サービスに置き換えることで、他の非機能要求への応用が可能だろう