13:00-14:20
[R*] |
- 全文検索システム Rast の設計と実装
-
|
- 西田 雄也
- 全文検索に対する要求は、適合率と呼出率のいずれを優先するか、検索に用いる文字エンコーディングをなににするか、あるいはインデックス化に形態素解析を用いるか、N-gram を用いるかなどさまざまである。そのため、必ずしもそれらの要求の組み合わせを満たす検索エンジンが存在するとは限らない。我々は、全文検索処理を、必要な機能を網羅した全文検索ライブラリと、個別の要求に対応するモジュールに分割することでさまざまな要求に対応できる全文検索システム Rast を開発した。本論文では Rast の特徴と基本的なシステム構成および実装を概観し、その性能も評価する。
[発表資料] / [論文]
|
- Ruby I/O 機構の改善 -- stdio considered harmful --
-
|
- 田中 哲
- Ruby は開発版 (1.9) において I/O のバッファリングを stdio でなく独自に行うようになった。本稿ではその理由と効果を解説する。stdio は C の標準入出力ライブラリであり、バッファリングを行ってシステムコール頻度を抑えて効率を上げるとともに行指向の入出力などをサポートしている。しかし、バッファの状態を確認するポータブルな方法がないことや、nonblocking I/O に関わる問題に加え、複数の実装間の差異による不都合など、様々な問題が存在する。これらの問題の中には stdio を使っている限り対処が困難なものがあり、stdio を除去することによって多くの問題に対処できる。
[発表資料] / [論文]
|
14:30-15:50
[Security (1)] |
- 使いこなせて安全な Linux を目指して
-
|
- 原田 季栄
- Linux カーネル 2.6 には LSM と SELinux が組み込まれ、「きめ細かなアクセス制御」を行うことが可能となった。だが、現実には適切なポリシーの作成が困難であるがために活用されているとは言えない。こうした状況の背景には、Linux の構造と SELinux の実装が深く関係している。筆者らは使いこなせて安全な Linux を目指して、「改ざん防止 Linux」および「TOMOYO Linux」を開発し、セキュリティ・スタジアム 2004 に「防御側」として出展、その効果を検証した。標準の Linux にはどのような脅威があり、SELinux はそれをどのように解決するか、何故 SELinux による運用が困難となるかについて、独自に開発した Linux の狙いや経緯、セキュリティ・スタジアムで得られた情報と合わせて報告し、今後の Linux セキュリティ強化について考察する。
[発表資料] / [論文]
|
- タイプ継承を可能にする SELinux ポリシーコンパイラの拡張
-
|
- 海外 浩平
- Linux オペレーティングシステムのセキュリティ機能を強化する SELinux は、各種のディストリビューションでも標準採用されるなど、本格的な普及が始まろうとしている。
SELinux はセキュリティポリシーに基づいて一元的にアクセス制御を行う点に特徴があり、従来の UNIX セマンティクスに基づいたアクセス制御と比べ、非常に詳細なアクセス制御を行うことができる。その反面、アクセス制御を記述するセキュリティポリシーの記述が複雑になるという問題を抱えている。 著者は SELinux のセキュリティポリシー・コンパイラ (以下 checkpolicy) を拡張し、従来バージョンとの完全な互換性を維持したままで、アクセス制御の最小単位であるタイプに継承の概念を追加した。これにより、定義済みタイプを利用して冗長性を排除したセキュリティポリシーの記述を行うことが可能になり、ポリシーの一貫性・可読性の向上を実現する。 本論文では、checkpolicy に対して行った拡張と追加した文法、およびこれを利用したセキュリティポリシーを記述するための方法について述べる。
[発表資料] / [論文]
|
16:00-17:20
[Security (2)] |
- OSS による IPS の実現
-
|
- 桝本 圭
- 侵入防止機能とは、コンピュータシステムに対する攻撃が行われた場合に、システムを自動的に防御する機能である。通常、侵入検知システムの補足機能として実現される。侵入防止機能は、システムの安全性を高めるために、人手による常時システム監視を必要としないため、運用コストを削減する利点を提供する。しかし、侵入防止機能が侵入検知システム毎に開発されることや、また侵入防止を行うための設定に応用がきかない課題が残る。ここでは、これらの課題を解決し、侵入防止機能を持つシステムを実現する手法と、提案手法の実装内容について述べる。この手法により、任意の侵入検知システムを無改造で組合せた形式の侵入防止機能が実現可能となる。
[発表資料] / [論文]
|
- 高信頼 HA クラスタに向けた障害通知フレームワークの実装
-
|
- 大塚 憲司
- Linux を大規模システムへ適用する場合、HA クラスタソフトなどを用いて可用性の向上を実現している。しかし、サーバの負荷が高くなると、応答性が低下し、HA クラスタソフトが障害として誤検出するという問題がある。
高負荷による応答性の低下は、ユーザ空間プロセスからの制御に限界があることから、カーネル内で安定した障害検知を可能とし、ユーザ空間プロセスへ統一的な形式で障害情報を提供する障害検知フレームワークを設計・実装し、その有効性を検証した。
[発表資料] / [論文]
|