shikimi

shikimi

カレンダー

ブックマークタグ

登録情報はありません。
リファレンス

first-time visitors
user guide
謝辞

「みんなの翻訳」は情報通信研究機構言語翻訳グループ東京大学図書館情報学研究室による共同プロジェクトであり、三省堂国立情報学研究所連想情報学研究開発センターが開発に協力しています。三省堂には「グランドコンサイス英和辞典(36万項目収録)」の使用を許可していただきました。

連携研究グループはこちらをご覧ください。

「みんなの翻訳」を使っている翻訳グループについてはこちらをご覧ください。

バナー

logo

ポスター

poster

フライヤー

poster poster
Mozilla Firefox ブラウザ無料ダウンロード
本サイトはブラウザ「Mozilla Firefox」推奨です。
Firefox3で動作確認しています。

Valid XHTML 1.0 Transitional

site_image
Trusted computing base
https://en.wikipedia.org/wiki/Trusted_computing_base
shikimi shikimi     最終更新:2018-01-01 15:04:07    PDF


文書タグ: IT百科事典

Trusted computing base

信頼できるコンピューティング(Trusted Computing)と混同しないこと。

コンピュータシステムのtrusted computing base(TCB)とは、TCB内部で起こるバグや脆弱性がシステム全体のセキュリティ特性を危うくするかもしれないという意味において、そのセキュリティに重要な意味をもつすべてのハードウェアやファームウェア、ソフトウェアの構成要素の一式のことである。対照的に、TCB外部のコンピュータシステムの部分はセキュリティ・ポリシーに従って認められた権限を超えたものを漏らすような形で不正を行うことができるようであってはならない。

システムのtrusted computing baseを注意深く設計し、実装することは、その全体的なセキュリティにとって最も重要である。現代のオペレーティング・システムは、(手動やコンピュータ支援でのソフトウェア監査やプログラム検証による)コードベースの徹底的な調査を実行可能にするために、TCBの大きさを縮小しようとしている。

目次

1 定義と特徴
2 TCBの特性
 2.1 セキュリティ・ポリシーに根拠を置く
 2.2 セキュリティの前提条件
 2.3 ソフトウェアの構成要素としてのTCBはそれら自身を守る必要がある
 2.4 信頼された(trusted)と信頼できる(trustworthy)
 2.5 TCBの大きさ
3 例
4 関連項目
5 参考文献

定義と特徴

trusted computing baseという用語はRushby[1]に遡り、Rushbyはそれをカーネルと信用プロセスの組み合わせとして定義した。後者はシステムのアクセス制御規則を破ることが許容されるプロセスを指す。古典的な論文Authentication in Distributed Systems: Theory and Practice[2]Lampson et al. (「分散システムにおける認証:理論と実際」、ランプソンほか)はコンピュータシステムのTCBを単純に以下のように定義する

セキュリティが依存する少量のソフトウェアとハードウェアであり、セキュリティに影響を与えることなく不正を行うことのできるはるかに大量のものとは別のものと私たちが認識しているもの。

どちらの定義も明快で便利なものであるが、どちらも、理論的には正確でなく、そうあることを意図されていもいない。例えばUNIX系のオペレーティング・システムのもとでのネットワーク・サーバー・プロセスはセキュリティ違反の犠牲になる可能性があり、システムのセキュリティの重要な部分を危殆化するかもしれないが、オペレーティング・システムのTCBの一部ではないというように。もう一つの古典的なコンピュータ・セキュリティの参考文献であるオレンジブックは、それゆえ、コンピュータ・システムのTCBのより形式的な定義として次のように規定している[3]

その中にある保護機構の全体であり、ハードウェアとファームウェア、ソフトウェアを含み、コンピュータ・セキュリティ・ポリシーを実施する役割を果たすものの組み合わせである。

言い換えれば、trusted computing base(TCB)は、ハードウェアとソフトウェア、そしてセキュリティ・ポリシーを実施するための信頼できる基盤を形成するために一体となって働く制御装置の組み合わせである。

オレンジブックはさらに次のように説明する

trusted computing base内部の機構の正確さと、それらの正確性を確かにするためのそれらの機構の保護、セキュリティ・ポリシーに関連する要素の正確な入力に依存した、統一されたセキュリティ・ポリシーを正確に実施するためのtrusted computing baseの能力。

言い換えれば、もしコンピュータ・システムにそのセキュリティを提供する機構の一部として設計されたのであれば、その場合に限って、所与のハードウェアやソフトウェアの一つはTCBの一部である。オペレーティング・システムにおいて、これは概してカーネル(あるいはマイクロカーネル)と選択可能なシステム・ユーティリティ(例えばUNIXシステムにおけるsetuidプログラムやdaemons)一式から成る。JavaやEのようなセキュリティ機能が組み込まれたプログラミング言語において、TCBは言語ランタイムと標準ライブラリから形成される[4]。

TCBの特性

セキュリティ・ポリシーに根拠を置く

上記のオレンジブックの定義の結果として、セキュリティ・ポリシーがどのように肉付けされるかの詳細に関して、TCBの範囲が密接に依存するということは指摘されるべきだろう。上述のネットワーク・サーバの例において、例えば、たとえマルチユーザ・アプリケーションを提供するウェブサーバは、オペレーティング・システムのTCBの一部ではないとしても、ユーザが互いのIDと権利を奪うことができないようにアクセス制御を行う責任がある。この意味において、それは明らかにUNIXサーバとユーザのブラウザ、ウェブ・アプリケーションから成るより大きなコンピュータ・システムのTCBの一部である;言い換えれば、例えばバッファオーバーフローによってウェブ・サーバを破綻させることは、オペレーティング・システムの完全な危殆化とはみなされないかもしれないが、確実に、ウェブアプリケーションのセキュリティ上の弱点に損害を与える行為を構成する。

TCBの範囲に関するこの基本的な相対性は、コモンクライテリアのセキュリティプロセスにおける評価対象(TOE: target of evaluation)の概念によって例示される:コモンクライテリアのセキュリティ評価の過程で最初に行われなければならない決定の一つは、監視下に置かれることになるシステム構成要素の一覧についての監査の範囲である。

セキュリティの前提条件

設計の一部としてtrusted computing baseをもたないシステムは、それら自身のセキュリティは提供しない:それらはセキュリティが外部の手段によって提供される限りにおいてのみ安全である(例えばネットワーク接続なしで鍵の掛かった部屋に置かれているコンピュータは、それが動かしているソフトウェアに関係なく、その方針によって安全だとみなされるかもしれない)。なぜかというと、デビッド・J・ファーバー他が提示したように[5]、コンピュータ・システムにおいて、下位層の保全性は一般的に上位層によって自明のものとして扱われるからである。コンピュータ・セキュリティに関する限り、コンピュータ・システムのセキュリティ特性についての論証は、それができることについての前提条件、そしてさらに重要なことには、それができないことについての前提条件を調査することができる必要がある;しかしながら、そうではないものを信じる理由でもなければ、コンピュータは一般的なフォン・ノイマン型計算機に可能なことすべてを行うことができる。これは言うまでもなく、秘密にしなければならない電子メールやパスワードを漏らすことといった最も単純なセキュリティ・ポリシー以外のすべてに反しているとみなされるであろう操作を含む;しかしながら、システムの構成に特別な規定がなければ、コンピュータがこれらの望ましくないタスクを実行するようプログラムされうることは否定できない。

ある種の行動が実行されるのを防ぐことを目的としたこれらの特別な規定が、実質的に、trusted computing baseを構成する。そういうわけで、オレンジブック(2007年現在においても安全なオペレーティング・システムの設計に関する参考文献)は、主にTCBの構成とセキュリティ機能の観点から定義し、様々な安全の保証レベルを特徴付けている。

ソフトウェアの構成要素としてのTCBはそれら自身を守る必要がある

前述のオレンジブックでの概説の通り、trusted computing baseのソフトウェア部分はいずれの影響から受ける不正な変更に対しても自らを保護する必要がある。これは、事実上すべての現代のコンピュータに実装されているフォン・ノイマン型アーキテクチャに起因する:機械語が単なる別種のデータとして処理可能になって以来、後にTCBの一部として扱われなければならない特別なメモリ管理規定を除いて、それはどんなプログラムからも読み出され、上書きされることが可能である。具体的に言うと、trusted computing baseは少なくとも自身のソフトウェアへの書き込み行為を防がなければならない。

多くの現代のCPUにおいて、TCBを抱えるメモリの保護はメモリ管理ユニット(MMU: memory management unit)と呼ばれるハードウェアの特化した一部に付け加えられることによって成し遂げられる。メモリ管理ユニットは、プログラムを稼働させているシステムメモリの特定の範囲へのアクセスの許可と拒否を行うために、オペレーティング・システムによってプログラム可能である。もちろん、オペレーティング・システムもまた他のプログラムに対してそのようなプログラミングを許可しないことができる。この技術はスーパーバイザー・モードと呼ばれる:より粗野な手法(例えばROMにTCBを保管することや同等にハーバード・アーキテクチャを使うことなど)と比べると、trusted computing baseの安全なアップグレードを可能にすることがそれ自身の起動の問題を引き起こすとはいえ、セキュリティ上重要なソフトウェアが実地でアップグレードされることを可能にするという長所がある。

信頼された(trusted)と信頼できる(trustworthy)

上で述べたように、trusted computing baseにおける信頼とはコンピュータ・システムのセキュリティを確実にすることにおいていくらかの前進をもたらすことが必要とされる。言い換えれば、trusted computing baseは、第一に信頼されるものでなければならないという意味では「信頼され(trusted)」、必ずしも信頼できる(trustworthy)ものとは限らない。現実世界のオペレーティング・システムはそれらの中に日常的にセキュリティ上重大なバグを見つけており、それはそのような信頼の実用上の限界を示している[7]。

代替手段は正規のソフトウェア検証であり、それはバグがないことを示すために数学的証明の技術を使用している。NICTAとその独立したOpen Kernel Labsの研究者たちは最近、カーネルのC実装の機能的な正しさを証明するL4マイクロカーネル・ファミリーの一要素[8]に関するそのような形式的検証[1]を行った。これはseL4を最初のオペレーティング・システム・カーネルにするものであり、数学的証明に誤りが含まれていないことを仮定することで、信頼と信頼できることとの間の差を埋める。

TCBの大きさ

前述のものは形式的検証や手動のレビューのような費用のかかる技術を適用する必要があることから、TCBの大きさはTCB保証プロセスの経済的な側面と、(検証やレビューの間に見つけられないバグの数の数学的期待値の点から)結果として生じる製品の信頼性に対して直接的な効果をもつ。費用とセキュリティリスクを下げるため、TCBはそれゆえできる限り小規模であり続けなければならない。これはモノリシックカーネルに対してマイクロカーネルの方を選択する議論において鍵となる論拠である[9]。

AIXはインストール時のパッケージ管理システムの中に任意選択の構成要素としてtrusted computing baseを実現している[10]。

関連項目

情報技術ポータル

ブラックボックス日本語版

オレンジブック日本語版

トラスト・アンカー(信頼点)

ハードウェア・セキュリティ

参考文献

1. Rushby, John (1981). "Design and Verification of Secure Systems". 8th ACM Symposium on Operating System Principles. Pacific Grove, California, US. pp. 12–21.

2. B. Lampson, M. Abadi, M. Burrows and E. Wobber, Authentication in Distributed Systems: Theory and Practice, ACM Transactions on Computer Systems 1992, on page 6.

3. Department of Defense trusted computer system evaluation criteria, DoD 5200.28-STD, 1985. In the glossary under entry Trusted Computing Base (TCB).

4. M. Miller, C. Morningstar and B. Frantz, Capability-based Financial Instruments (An Ode to the Granovetter diagram), in paragraph Subjective Aggregation.

5. W. Arbaugh, D. Farber and J. Smith, A Secure and Reliable Bootstrap Architecture, 1997, also known as the “aegis papers”.

6. A Secure and Reliable Bootstrap Architecture, op. cit.

7. Bruce Schneier, The security patch treadmill (2001)

8. Klein, Gerwin; Elphinstone, Kevin; Heiser, Gernot; Andronick, June; Cock, David; Derrin, Philip; Elkaduwe, Dhammika; Engelhardt, Kai; Kolanski, Rafal; Norrish, Michael; Sewell, Thomas; Tuch, Harvey; Winwood, Simon (October 2009). "seL4: Formal verification of an OS kernel" (PDF). 22nd ACM Symposium on Operating System Principles. Big Sky, Montana, US. pp. 207–220.

9. Andrew S. Tanenbaum, Tanenbaum-Torvalds debate, part II (12 May 2006)

10. AIX 4.3 Elements of Security, August 2000, chapter 6.

原文:https://en.wikipedia.org/wiki/Trusted_computing_base
Creative Commons License
この作品は、クリエイティブ・コモンズ・ライセンスの下でライセンスされています。
クリエイティブ・コモンズ・ライセンス外部リンク
新着文書(shikimi)

Flutter (software)
Flutter -------- 原作者:Google 開発者:Googleとコミュニティ 最初の公開:アルファ(v0.0.6)/2017年5月;1年前(2017-05)[1] 試験版の公...
E (programming language)
E(プログラミング言語) AmigaE や e(検証言語) 、 GNU E と混同しないこと。 E -------- パラダイム マルチパラダイム:オブジ...
Van Eck phreaking
Van Eck phreaking(ファン・エック・フリーク) Van Eck phreakingは盗聴の一形態であり、その中では特殊な装置が使用され、電子機器を探るため、隠...
7amleh conducts survey of digital activism of Palestinian civil society organisations / 7amleh – the Arab Center for the Advancement of So
7amlehはパレスチナの市民社会組織によるデジタル行動主義について調査を実施する 7amleh----ソーシャルメディアの促進のためのアラブセンター 発表...

新着文書

GitLab Plugin system
GitLab Documentation > Administrator documentation >GitLab Plugin system GitLab 10.6より導入。  カスタムプラグインを使えば、GitLa...
Bristol’s Last Bookshop shares key facts on the remains of publishing
ブリストルの ラスト・ブックショップ (「最後の書店」)はたぶん、真の本好きのための残本店と言っていいだろう。それは、いくつかの出版社の名作...
Bristol’s Last Bookshop shares key facts on the remains of publishing
ビリストルのラスト・ブックスショップ(Last Bookshop)という本屋は熱烈な本愛好家のためのリマインダーストアーであると思う。リマインダーストア...

新着Wikipedia翻訳

Flutter (software)
Flutter -------- 原作者:Google 開発者:Googleとコミュニティ 最初の公開:アルファ(v0.0.6)/2017年5月;1年前(2017-05)[1] 試験版の公...
E (programming language)
E(プログラミング言語) AmigaE や e(検証言語) 、 GNU E と混同しないこと。 E -------- パラダイム マルチパラダイム:オブジ...
Van Eck phreaking
Van Eck phreaking(ファン・エック・フリーク) Van Eck phreakingは盗聴の一形態であり、その中では特殊な装置が使用され、電子機器を探るため、隠...

更新履歴

キャンセル
ブックマーク登録

タグを「;(半角セミコロン)」区切りで入力して下さい(例)tag1;tag2;tag3
10タグまで登録可能。各タグ30文字まで

履歴
状態 作業中 作業予定あり 作業予定なし 作業完了
テーマ 社会 政治 法律 経済 文化 芸能 科学技術 IT 健康/医療 スポーツ メディア 植物 動物 菌類 地方 国際
地域 日本 東アジア アフリカ 南アジア 東南アジア 西アジア/中東 太平洋 北米 中南米 欧州
ジャンル ニュース 解説記事 論文 日記 百科事典

コメントを入力して下さい
0 / 250
    
ブックマーク登録

ブックマークに登録しました。


言語選択

    
ファイルプロパティ

使用許諾条件
ファイル情報
あなただけがこのファイルを閲覧・編集できます。
みんながこのファイルを閲覧できますが、
編集ができるのはあなただけです。
あなたに加えて、指定された人やグループが
このファイルを自由に閲覧・編集できます。
公開設定
編集設定
グループ:0組 翻訳者:0人
    
アクセス属性
この文書は「非公開」設定になっています。
一般公開する場合は、編集ページの書誌情報で「公開」設定に変更して下さい。
翻訳者選択

※メニュー「翻訳者管理」で翻訳者、グループを追加することができます。


    
ノート

非公開ノート
0 / 2000 ※「公開・編集」権限を持つ翻訳者のみに公開されます。
公開ノート
0 / 2000 ※文書を「公開」にした場合、一般に公開されます。

言語選択

 →