SELinux のセキュリティポリシは，記述が難しいという問題がある．このため，配布されている汎用的なポリシを利用する場合が多い．汎用的なポリシは，個々のシステムにおいて必要のない権限を許可している可能性がある．この問題を解決するため，我々は，実行対象のシステムに合わせて，汎用的なポリシから不要なポリシを自動で削除する手法を提案した．ポリシ削減手法は，SELinux Common Intermeditate Language という中間言語で記述されたファイルと，SELinux が出力する監査ログを利用して不要なポリシを発見し，削除する．一方で，アトリビュートによって不要な権限が付与されているポリシに対しては，ポリシ削減手法によるポリシ削減が不十分である課題がある．そこで，本研究では，タイプをアトリビュートに加える typeattributeset 宣言を allow 文に置き換え，ポリシ削減手法適用不可なモジュールから allow 文を分離することで，権限を細分化し，細粒度で不要なポリシを削除できるように従来手法を拡張した．本稿では，拡張した提案手法について述べ，実際のポリシを用いた攻撃防止実験やポリシの削減の評価により，提案手法の有用性を示す．

The security policy of SELinux has the problem that it is difficult to write. Policies are often used for distributed generic policies due to difficulty of writing. This may allow for redundant privileges in individual systems. In order to solve this problem, we proposed a method to automatically detect redundant policies and delete them according to the target system. The proposed method detects and deletes redundant policies using SELinux Common Intermediate Language and audit logs output by SELinux. However, there is a possibility that the policy reduction by the proposed method is insufficient for the policy to which the redundant privileges is granted by the attribute. Therefore, the proposed method is extended to subdivide the privileges by replacing typeattributeset statement that adds types to attributes with allow statement. In this paper, we report the proposed method and its evaluation results.