Ahmed Elkhodary & Jon Whittle : "A Survey of Approaches to Adaptive Security", International Workshop on Software Engineering for Adaptive and Self-Managing System (SEAMS’07)

1. A Survey of Approaches to Adaptive
Securityの紹介
Nobukazu Yoshioka
Copyright 2012 GRACE Center All Rights Reserved.

2. Survey Paper
 A Survey of Approaches to Adaptive Security
 Ahmed Elkhodary & Jon Whittle (George mason University)
 International Workshop on Software Engineering for Adaptive
and Self-Managing System (SEAMS’07)
 Contributions
 Adaptive Securityの対応度合いを評価するための６つの
Dimension（軸）を規定 MDD+Adaptation
 Security Service：
Tolerance軸, Authorization軸, Authentication軸
 Adaptation Model:
Computational Paradigm軸, Reconfiguration Scale軸,
Conflict Handling軸
 従来の提案（4事例）をこの尺度で評価
 将来の研究の方向性を示す
Copyright 2012 GRACE Center All Rights Reserved. 2

3. Adaptive Securityの側面
 Adaptive Security Serviceの評価基準
セキュリティのためのサービス：
1. Authentication(認証）
 Identification（本人識別）とnon-repudiation（否認不可）を実現するためのサー
ビス
2. Authorization（認可）：リソースのアクセスの制御
 Confidentiality（機密性）とIntegrity（完全性）を実現するためのサービス
3. Tolerance（Failureからの復帰するためのサービス）
 Availability（可用性）を実現するためのサービス
 分散ＤＢなど
※発表者注：データやネットワークの暗号化
サービス、署名サービス、鍵管理サービス
（CA)、ログサービス、マルウェア検知サービス
などは考えないのか？
Copyright 2012 GRACE Center All Rights Reserved. 3

4. セキュリティサービスの観点でのAdaptation
Level
Fault toleranceかつ
Intrusion tolerance（侵入に
耐えられる）
アクセス制御ポリシーを動
的に変更できる：システム
全体, ユーザ特化
Authentication方法を脅威やユー
ザの信頼度に応じて 実行時に変
更できる：パスワード、バイオ、ＩＤ
カードなど
Copyright 2012 GRACE Center All Rights Reserved. 4

5. Adaptive Methodの側面
 Computational paradigmの評価基準
 振る舞いの変更にどれだけ柔軟性があるか？
 Reconfiguration Scaleの評価基準
 変更できる範囲はどれだけか？
 Conflict Handlingの評価基準
 設定間の競合、矛盾をどこまで自動的に
解消できるか？
Copyright 2012 GRACE Center All Rights Reserved. 5

6. Computational paradigmの評価基準
1. Parameterization：動的に振る舞いをパラメータで変更
すべての変化をあらかじめ設計
2. コンポーネントベースで合成：動的に構成要素を組み換え
3. Reflection：振る舞い（実装）をモニターして修正
メタレベルの記述
4. アスペクト指向：変更を動的に織り込み
Reflectionよりも開発効率と運用性が向上
Copyright 2012 GRACE Center All Rights Reserved. 6

7. Reconfiguration Scaleの評価基準
1. Single-unit：一か所のコンポーネントもしくはサービスのみ
変更
2. Inter-unit：複数の構成を変更（※説明なし）
3. Architecture-wide：システムの構成要素間も変更
Copyright 2012 GRACE Center All Rights Reserved. 7

8. Conflict Handlingの評価基準
設定間の競合や目的の矛盾を検知して解消する能力
1. ユーザ駆動で競合を解消：エンジニアが決定
2. 自動で競合を解消：エンジニアの決定を埋め込み
直観に反したり、柔軟性に欠けることもある
3. インタラクティブに競合を解消
簡単な競合は自動で解決、複雑な競合はエンジニアに問い合わせ
Copyright 2012 GRACE Center All Rights Reserved. 8

9. Adaptive Application-Security
Approaches
 ４つの事例でAdaptationの度合いを評価
Copyright 2012 GRACE Center All Rights Reserved.

10. 事例１：Extensible Security Infrastructure
 モバイルプログラムのセキュリティポリシーの変更を可能に
する基盤
 論文：Brant Hashii, Scott Malabarba, Raju Pandey, Matt
Bishop: Supporting reconfigurable security policies for
mobile programs. Computer Networks 33(1-6): 77-93 (2000)
(event, condition, response)
リソースへのアクセス
制御ポリシーを変更
動的に変更したポリシーに
従ってリソースにアクセス許可
Copyright 2012 GRACE Center All Rights Reserved. 10

11. Extensible Security Infrastructure
Adaptation Level
 セキュリティサービスレベル
 Adaptive authorization：アクセス制御を動的に変更可能
☹ Authentication, Availabilityの対応はなし
✔
✔
✔
✔ ✔
✔ アクセス制御に矛盾が
あった場合は、ルールの
優先順によって解決
Copyright 2012 GRACE Center All Rights Reserved. 11

12. 事例２：Strata Security API
 Strata: プログラム実行を命令ベースで変更可能なプラットフ
ォーム
 Software Dynamic Translation (SDT)を応用
 セキュリティ以外にも最適化やプロファイラーにも応用
OS (システム
コール）レベル 特定のコードを置き換え
Copyright 2012 GRACE Center All Rights Reserved. 12

13. Strata Security API
Adaptation Level
 セキュリティサービスレベル
☹ 書こうと思えば何でも書けるが記述が低レベル
コンポーネントの合成も
書ける
✔
☹ ✔
？
？
✔ ワイルドカード記述がで
きない
Copyright 2012 GRACE Center All Rights Reserved. 13

14. 事例３：The Willow Architecture
 動的制御のためのフレームワーク
 故障やアタックされた機能を切り離すことにより
Survivabilityを実現
構成要素：
1. Control Loop：Monitor, Diagnose, Coordinate and
Reconfigureの機能を持つ
2. Proactive制御：管理者が設定を動的に変更可能
3. Reactive制御：有限状態遷移図に基づき、エラー
状態に遷移した時に振る舞いを自動変更
4. Priority Enforcer：複数のControl Loopによる設
定変更要求があった場合、要求に優先度をつけ
た後に、分散設定
5. 防衛機能：制御メカニズムや制御データを攻撃か
ら防御
6. 通信機能：効率の良いイベント通知サービスを使
った通信
Copyright 2012 GRACE Center All Rights Reserved. 14

15. The Willow Architecture
Adaptation Level
 セキュリティサービスレベル
 Fault toleranceとIntrusion toleranceの両方を実現
☹ AuthenticationとAuthorizationをどう変更するかは規定していない
コンポーネント間の関係
を変更可能 コンポーネントの中を変
✔ 更できない
☹
✔
✔
✔ ✔
✔
Copyright 2012 GRACE Center All Rights Reserved. 15

16. 事例４：Adaptive Trust Negotiation
Framework
 動的なアクセス制御とトラスト交渉のためのフレームワーク
構成要素：
 GAA-API：脅威レベルに応じてアクセス制御ポリシーを変更
 TrustBuilder：証明書に基づくユーザの信頼度に応じて認証
方式を変更
Copyright 2012 GRACE Center All Rights Reserved. 16

17. Adaptive Trust Negotiation Framework
アクセスできるかどうか
判定
証明書で信頼度を決定
Copyright 2012 GRACE Center All Rights Reserved. 17

18. Adaptive Trust Negotiation Framework
Adaptation Level
 セキュリティサービスレベル
 AuthenticationとAuthorizationを動的に変更
信頼度に基づく制御に
より間接的貢献
✔
✔ ？ ☹✔
✔ Threat-levelとSuspicion-
✔ levelで判断
Copyright 2012 GRACE Center All Rights Reserved. 18

19. Future Work
1. すべてのセキュリティサービスをサポート
2. Adaptationに関する運用性や再利用性の向上
3. Single-unit, inter-unit, architecture-wideの設定変更の統
一性のある形式化
4. 自動化とインタラクティブな競合解消に関する生産性と柔軟
性のトレードオフ分析
所感：
 セキュリティサービスレベルを、非機能要求とそれを支える
機能・サービスに置き換えることで、他の非機能要求への応
用が可能だろう
Copyright 2012 GRACE Center All Rights Reserved. 19