http:www.sip-ac.jp/sip/konan_text/is04-01.html,        © 2001 Ayumi Yoshikawa
主観情報処理研究所

情報セキュリティ:ソフトウェアとセキュリティ(最終更新:2015/12/06 16:33:44 JST)

ソフトウェアとセキュリティ

コンピュータへの脅威で大きな割合を占めるのが,ソフトウェアに対する脅威である.ここではOSやアプリケーションのセキュリティに関連する基本的な事項とそれらに存在する脅威について触れる.
なお,こちらの資料にはキーワードとその簡単な解説,関連情報へのリンクにとどめ,主として教科書を用いる.

本日の話題

  1. OSとそのセキュリティ
  2. 電子メールとそのセキュリティ
  3. Webとそのセキュリティ
  4. インターネット利用のアプリケーション
  5. データベースとそのセキュリティ

[*]下へ▼ ▲[#]上へ

OSとそのセキュリティ(教科書100ページ)

OSのしくみ

OSに関連する事項は次のようなものがある.

オペレーティングシステム(Operating System: OS)
いわゆるコンピュータのハードウェアの制御を行うためのソフトウェアである.
API(Application Program Interface)関数
ワープロや表計算などの,いわゆるアプリケーションソフトウェアがOSの機能を利用するためのしくみ.システムコール,あるいはスーパバイザコールと呼ばれることもある(教科書101ページ)
ジョブ
ユーザが依頼した仕事.システムはこのジョブをジョブステップという単位に分割(教科書102ページ)
プロセス
コンピュータの処理の単位.タスクとも呼ばれる.複数のプロセスが同時に処理可能な場合,マルチタスクと呼ばれる(教科書103ページ)

プロセスの処理の流れは,3つの状態とその状態の間の遷移(移動)から構成される(教科書104ページ).

プロセスの3つの状態は次の通り(教科書106ページ)

状態の遷移は次のような条件により発生する(教科書104~106ページ)

スケジューリングと仮想記憶(教科書107ページ)

プロセスの実行で重要な考え方として,スケジューリングと仮想記憶がある.スケジューリングは実行可能状態にある複数のプロセスのうち,どれから実行するかを決定する方法である.スケジューリングの種類は次のようなものがある.

到着順方式
プロセスの起動順に実行.キューと呼ばれる待ち行列を用いる.キューは,先入先出し(FIFO)
処理時間順方式
処理時間の短いプロセスから実行
ラウンドロビン方式
時間制限つき実行.プロセスの起動順に実行し,タイムクウォンタムという制限時間を越えると実行可能状態に強制的に戻してキューの最後に回す
優先度順方式
プロセスに優先度をつけ,優先度順に実行.
多重待ち行列方式
多段式のラウンドロビン方式.最初は高優先度で短CPU時間を割り当て,次回から優先度を下げて,CPU時間を長くする方式

仮想記憶は,補助記憶装置を利用して,実際の主記憶より大きなメモリ空間を作り出すしくみ.仮想記憶の方式の中でプログラムを固定長に区切って管理するページング方式は特に重要(教科書109ページ).ページング方式での操作には次のようなものがある.

ページの置き換え方式には次のようなものがある(教科書110ページ)

LRU(Least Recently Used)
最も使われていない(参照されていない)ページを追い出す
FIFO(First In First Out)
最初に記憶したページから順に追い出す
LFU(Least Frequently Used)
使用頻度(参照頻度)が最も小さいページを追い出す

OSのセキュリティ(教科書114ページ)

OSの管理するファイルの管理者権限は,所有者,グループ,通常ユーザのそれぞれに対し,読み取り,書き込み,実行の3種が設定可能である(教科書114,115ページ).パーミッションとも呼ばれる.

パーミッション:740(rwxr-----)→所有者は読み込み,書き込み,実行可能,グループは読み込み可能,一般は不可

OSに関連した脅威として次のようなものがある.

ディレクトリトラバーサル
不正なファイル名を指定されることで,意図しないディレクトリを操作されてしまうこと.相対ディレクトリ指定の悪用などが有名(教科書118ページ)
バッファオーバフロー
入力を伴うアプリケーションで,メモリ上のバッファ(記憶用領域)を超えて入力することで,不正なプログラムを起動させたり,管理者権限を奪取する不正行為.入力データサイズのチェックをアプリケーションで行っていないことを悪用
OSコマンドインジェクション
入力を伴うアプリケーションで,OSのコマンドを起動する入力を与えて,不正にOSのコマンドを起動する不正行為.これもアプリケーションの入力のチェックの甘さを悪用

[*]下へ▼ ▲[#]上へ

このサイトに関するお問い合わせは,連絡先のページをご覧ください.

このページのボトムへ講義資料このページのトップへ

前のページに戻る  1  2  3  次のページへ進む   情報セキュリティの目次に戻る ,        © 2001 Ayumi Yoshikawa