WPF のセキュリティ方針 - セキュリティエンジニアリング

[アーティクル]
08/09/2011

"Trustworthy Computing" (信頼できるコンピューティング) は、セキュリティで保護されたコードの生成を保証するための Microsoft イニシアティブです。 Trustworthy Computing イニシアティブの主要な要素が Microsoft Security Development Lifecycle (SDL) です。 SDL は、セキュリティで保護されたコードの提供を促進するために標準のエンジニアリングプロセスと組み合わせて使用されるエンジニアリング方法です。 SDL は、ベストプラクティスと形式化、可測性、および次のような追加の構造を組み合わせた 10 の段階で構成されます。

セキュリティデザイン分析
ツールベースの品質チェック
侵入テスト
最終的なセキュリティレビュー
リリース後の製品のセキュリティ管理

WPF 固有の情報

WPF のエンジニアリングチームは、SDL の適用と拡張の両方を行います。この組み合わせには、次の主要な側面が含まれます。

脅威のモデリング

セキュリティの分析と編集ツール

テスト手法

クリティカルコードの管理

脅威のモデリング

脅威のモデリングは、SDL のコアコンポーネントです。これは、システムをプロファイリングして潜在的なセキュリティの脆弱性を確認するために使用します。脆弱性を特定すると、脅威のモデリングでは、適切な回避方法が整っているかについても確認します。

大まかに、脅威のモデリングには、以下の主要なステップが関連します。食料品店の例を挙げて説明します。

資産の特定。食料品店の資産には、従業員、金庫、レジ、在庫などがあります。
エントリポイントの列挙。食料品店のエントリポイントには、正面ドアと裏口ドア、窓、商品の積荷所、空調設備などがあります。
エントリポイントを使用した資産に対する攻撃の調査。食料品店では、空調設備エントリポイントから侵入して金庫資産をねらう攻撃が考えられます。空調設備を取り外し、そこから金庫を引き出して店から持ち出す可能性があります。

脅威のモデリングは WPF 全体で適用され、次の内容が含まれます。

XAML パーサーによるファイルの読み取り、対応するオブジェクトモデルクラスへのテキストのマップ、および実際のコードの作成方法。
ウィンドウハンドル (hWnd) の作成、hWnd によるメッセージの送信、hWnd を使用したウィンドウのコンテンツのレンダリング方法。
データバインディングによるリソースの取得およびシステムとの対話方法。

これらの脅威のモデルは、セキュリティデザイン要件や開発プロセス中の脅威の回避方法を特定するために重要です。

ソース分析と編集ツール

SDL の手動セキュリティコードレビュー要素に加え、WPF チームはいくつかのツールを使用して、ソース分析や、セキュリティの脆弱性を軽減するための関連の編集を行います。次のようなさまざまなソースツールが使用されます。

FXCop: 継承ルールからコードアクセスセキュリティの使用法、およびアンマネージコードとの安全な相互運用方法まで、マネージコードにおける一般的なセキュリティの問題を検出します。「FXCop」を参照してください。
Prefix/Prefast: バッファーオーバーラン、書式文字列の問題、エラーチェックなど、アンマネージコードにおけるセキュリティの脆弱性と一般的なセキュリティの問題を検出します。
禁止API: ソースコードを検索して、strcpy などセキュリティの問題の原因としてよく知られている関数の誤った使用を特定します。そのような関数が特定されると、より安全な代替の関数に置き換えられます。

テスト手法

WPF は、次のようなさまざまなテスト手法を使用します。

ホワイトボックステスト : テスターは、ソースコードを確認してから、悪用テストを作成します。
ブラックボックステスト : テスターは、API と機能を調査してセキュリティの悪用可能部分を見つけてから、製品への攻撃を試みます。
他の製品からのセキュリティ問題の回帰 : 適切な場合、関連製品のセキュリティの問題点がテストされます。たとえば、Internet Explorer については約 60 のセキュリティの問題の変種が特定され、それらが WPF に適用可能かどうか試されています。
File Fuzzing によるツールベースの侵入テスト : File Fuzzing は、さまざまな入力によるファイルリーダーの入力範囲の悪用です。この手法が使用される WPF の 1 つの例では、イメージのデコードコードに不具合があるかどうかをチェックするために使用されます。

クリティカルコードの管理

XAML browser applications (XBAPs) の場合、WPF は、権限を昇格させるセキュリティクリティカルコードをマークおよび追跡するための .NET Framework のサポートを使用してセキュリティサンドボックスを作成します (「WPF のセキュリティ方針 - プラットフォームセキュリティ」の「セキュリティクリティカルな方法」を参照してください)。セキュリティクリティカルコードには高度なセキュリティ品質が必要とされているため、高いレベルのソース管理制御およびセキュリティ監査が適用されます。 WPF のおよそ 5 ～ 10% は、専用のレビューチームでレビューされるセキュリティクリティカルコードで構成されます。ソースコードおよびチェックインプロセスは、セキュリティクリティカルコードを追跡し、各クリティカルエンティティ (クリティカルコードを含むメソッド) をそのサインオフ状態にマッピングして管理されます。サインオフ状態には、1 つ以上のレビューアー名が含まれます。 WPF の日単位の各ビルドでは、クリティカルコードを前のビルドのクリティカルコードと比較して、承認されていない変更がないかどうかをチェックします。エンジニアがレビューチームの承認なしにクリティカルコードを変更すると、そのコードが特定されて直ちに修正されます。このプロセスにより、WPF サンドボックスコードに対する特に高度なレベルの精査の適用と保守が可能になります。