【2/17】今年は「濃厚」技術トーク!@ITメールセミナー スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷
 
[基礎解説]

Windowsセキュリティ・メカニズム入門(前編)

―― Windows OSのセキュリティ・チェックの仕組みを知る ――

1.セキュアなOSに必要なこと

畑中 哲
2006/06/01

Windows OSのセキュリティ・チェックはどう行われているか

 コンピュータ・システムで利用するソフトウェアには、大きく分けてオペレーティング・システム(OS)とアプリケーションとがある。OSはアプリケーションが動作するための基盤を提供するもので、そのためにOSにはさまざまな要件が求められる。現代のOSは、単にハードウェアとアプリケーションとの仲立ちをするだけではなく、より高度な機能や堅牢性、そして安全性(セキュリティ)も大事な要件だろう。

 今日セキュリティといえば、不具合(バグ)による脆弱性から来る問題が話題になることが多い。だがそもそもOSがアプリケーションに提供する環境に、セキュリティを実現するための仕組み自体が存在しなければ、たとえバグがなかったとしても、セキュリティを確保することはできない。実際、Windows 9x/Meなどはセキュリティを確保するための仕組みに欠けた、「セキュアでないOS」であった。

 それに対して、現在のWindows OS(Windows XP/Server 2003など)は、(少なくとも設計上は)「セキュアなOS」であり、セキュリティを確保するための仕組みを備えている。中でも最も基本的な仕組みは、複数のユーザーをきちんと区別し、それらのユーザーのファイルなどへのアクセスをチェックする仕組みである。特に管理者なら、複数のユーザーに応じたファイルのアクセス権設定などは、日常的に利用しているOSの仕組みだろう。だがそこで動作しているセキュリティ・チェックの仕組みについては、あまり意識せず利用しているのではないだろうか(仕組みをなるべく意識せず管理できるようにOSが工夫されているともいえる)。

 本記事では、Windows OSのセキュリティ・チェックの仕組みについて、基礎から解説する。Windows NTで導入されたこのセキュリティ・チェックの仕組みは、現在のWindows XPやWindows Server 2003はもちろん、将来のWindows VistaやLonghorn Server(=開発コード名)へもそのまま受け継がれている。

 今回は、Windows OSにおいて、複数のユーザーがどのように区別されているのか、アクセス権はどこに設定されているのか、コンピュータに対する特権的操作のチェックと設定などについて解説する。後編では、「管理者権限でログオン」するということの意味などについて解説する。これらを理解することは、Windows Vistaで導入されるセキュリティの新機能であるUser Access Controlの理解にも役立つだろう。

 本記事では、なるべく要点を絞って分かりやすく解説することに重点を置く。技術的な正確さよりも、分かりやすさを優先させるので、たとえ話などを積極的に挿入する一方で、ときには不正確な記述もいとわないつもりだ。本記事はあくまでWindowsセキュリティの基礎を理解するために使い、さらに掘り下げた技術詳細を知りたければ、マイクロソフトのTechNetやMSDNなどのサイトの技術情報を参照されたい。

 また、実際の動作にかかわる多くの要素の説明を省略する。例えばスレッド・トークン、制限トークン、セキュリティ記述子、ログオン・セッション、ウィンドウ・ステーション、Winlogon、Userinitなどなど、(主に開発者向けの)たくさんの要素を省略していることをあらかじめお断りしておく。

「セキュアなOS」のなすべきこと

 例えば、あるアプリケーションが、あるファイルにアクセスしようとする。セキュアでないOS(Windows 9x/Meなど)であれば、単に常にアクセスを認めればよいだろう。

 だが、Windows NT/2000/XP/Server 2003などといったセキュアなOS(以後まとめて、本稿ではWindows OSと呼ぶ)であれば、アクセスを許可してよいか判定しなければならない。

 つまり、「誰か」が「何か」を「どうにかする」ときには、それを認めるかどうかをWindows OSは判定しなければならない。

セキュアなOSに求められる機能
セキュアなOSでは、オブジェクトに対して、無制限の(制約のない)アクセスを認めるのではなく、「誰か」が「何か」を「どうにかする」ということを認めるかどうかを判断しなければならない。現在のWindows OSはこのような機能を備えているが、Windows 9x/Meでは省略されていた。

行為の主体となる「誰」の決定方法

 判定にはまず、行為の主体が「誰」であるのかを明らかにしなければならない。そのためには、

  • 行為の主体を何らかの境界線で区別する。
  • 境界線で区別したそれぞれの行為の主体に身分証明書のようなものを持たせる。

の2つが必要となる。

「誰」であるかの境界線:プロセス

 人間の場合は、1人1人の人間を行為の主体として扱い、区別すればよい。

 Windows OSでは、行為の主体を「プロセス」という境界線で区切る。

■プロセス
  プロセスとは、大ざっぱにいえば、各アプリケーションのことであり、タスク・マネージャの[プロセス]タブで確認することができる。各プロセスは独立している。例えば、メモ帳というアプリケーションを起動するということは、Notepad.exeという独立したプロセスを起動するということである。

 各プロセスは独立している(だからこそ行為の主体を区別する単位として扱える)。例えば、メモ帳を2つ起動すると、同じNotepad.exeという名前のプロセスが2つ起動する。Windowsは、この2つのNotepad.exeプロセスそれぞれを独立したものとして区別して扱う。
「誰」であるかの境界線
行為の主体を区別する単位は、Windows OS上では「プロセス」になる。プロセスが異なれば、たとえ同じアプリケーション(この例ではメモ帳)であっても、それぞれ独立したものとして扱われる。
 
 

 INDEX
  [基礎解説]
  Windowsセキュリティ・メカニズム入門(前編)
  1.セキュアなOSに必要なこと
    2.プロセスとトークンとACL
    3.トークンと特権的操作
    4.トークンの作成と書き換え
 
  Windowsセキュリティ・メカニズム入門(後編)
    1.管理者権限でログオンするとは?
    2.トークンの内容を確認する
    3.トークンの内容を書き換えてみる
    4.別のユーザーとして実行する機能とWindows Vista
 
 基礎解説

ホワイトペーパーTechTargetジャパン

Windows Server Insider フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
操作もマニュアルも分かりやすい!
ユーザー視点で開発されたPC管理ツール
New!
【CTC事例】約30の基幹システムを統合!
膨大なバッチジョブを制御した方法は?
「どこでもオフィス」で業務効率アップ!
PHP研究所モバイルシンクライアント事例
コスト削減・信頼性向上をまとめて満たす
“高信頼Linux”を構築する方法とは?
世界に通用するストレージの作り方とは?
製品に込めた思いを富士通の開発者に聞く
急速に広がるHyper-Vでのサーバ仮想化
そのベストプラクティスをデルが解説
@IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  企業の仮想化に足りない“発想”とは?
仮想化運用管理のキモは意外なところに!
New!
  操作もマニュアルも分かりやすい!
ユーザー視点で開発されたPC管理ツール
New!
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する

  セキュリティを知り尽くす上野氏が登壇!
@ITメールソリューションLive! in Tokyo
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?
  世界に通用するストレージの作り方とは?
製品に込めた思いを富士通の開発者に聞く

  OSSで手間も時間も、障害も減った――
「マピオンの事例」オープンソース活用法
  「ノートPCの持ち出し禁止」で大丈夫?
情報漏えいを防ぐ管理手法とインフラは?
  1日の処理を1秒に――MySQLの達人が語る
「コスト削減」できるチューニング

  ドキュメント作成を自動化して、SEの作業
効率を大幅アップ! Visio 2007の魅力
  急速に広がるHyper-Vでのサーバ仮想化
そのベストプラクティスをデルが解説
  @IT主催セミナーで語られた、「担当者に
求められるセキュリティ対策」をレポート

  @IT「Windows 7」 特設サイトオープン!
最新情報・移行ノウハウを公開しています

→@IT Special ヘ