アクセス制御
出典: フリー百科事典『ウィキペディア(Wikipedia)』
アクセス制御(アクセスせいぎょ、Access Control)は、物理セキュリティ、コンピュータセキュリティ、ネットワークセキュリティなどにおいて各々下記の意味を持つ。
目次 |
[編集] 物理セキュリティのアクセス制御
物理セキュリティにおいては、敷地や建造物、部屋などの入り口で、許可された人だけに入場を制限することを指す。このような物理的アクセス制御は、警備員、用心棒、受付係などの人間によって、あるいは鍵と錠などの機械的手段、カードによるアクセスシステムなど技術的手段によって実現される。
[編集] コンピュータセキュリティのアクセス制御
コンピュータセキュリティにおいては、アクセス制御とは、あるサブジェクト(行動体、人間やプロセス)がどのオブジェクト(受動体、システムやファイル)にアクセス(読む、書く、実行する)できるかを許可したり拒否したりする機能を指す。
コンピュータセキュリティによるアクセス制御には、認証(authentication)、認可(authorization)、監査(audit)が含まれる。それらは、物理的機器による手段としてバイオメトリクス、金属錠、デジタル署名、暗号化、社会的障壁、人間や自動化システムによる監視などを含むものである。認可はロールベースアクセスコントロール、アクセス制御リスト、XACMLのようなポリシー言語などで実装されるだろう。
アクセス制御システムは、識別と認証(Identification & Authentication、I&A)、認可(Authorization)、説明可能性(Accountability)の基本サービスを提供する。識別と認証はシステムにログオンできる者を決定し、認可は認証された者ができることを決定し、説明可能性はそのユーザーが何をしたかを特定する。
[編集] 識別と認証 (I&A)
識別と認証は、システムにログオンできる者を決定する二段階の処理である。識別は、ユーザーが自身が誰であるかをシステムに伝える方法を意味する(例えばユーザー名などを使う)。アクセス制御システムの識別機構はユーザー名やユーザーIDに基づいた比較的簡単な機構である。システムやプロセスの場合、識別は一般に以下のような情報に基づく。
識別は以下のような方針に基づいて行われる。
- ユーザーを完全に個人として特定する。
- ユーザーの地位や組織における重要性などで区別すべきでない(社長やCEOを特別扱いしない)。
- 共有アカウントを使うのを避ける(root、admin、sysadminなど)。
- そのようなアカウントは説明可能性を否定することにつながり、ハッカーからも狙われ易い。
認証はユーザーが主張する識別情報を照合する(例えば、入力されたパスワードとシステムに記憶されているパスワードを比較する)。
認証は以下の3つのいずれかに基づいて行われる。
- 「知識」:パスワードや個人識別番号(PIN)など。そのパスワードやPINを所有者以外は知らないことが前提となる。
- 「所有物」:スマートカードやトークンなど。アカウントの所有者だけが必要なスマートカードやトークンを持っていることが前提となる。
- 「生体」:指紋、声、網膜、虹彩の特徴など。
[編集] 認可
認可(または確立; Establishment)は、システム上のユーザーの権利と許可されていること(パーミッション)を定義する。ユーザー(やプロセス)が認証されると、認可機構によってそのユーザーがシステム上でできることが決定される。
最近のオペレーティングシステムは、以下の3種類の基本型を拡張したパーミッションを定義している。
- 読み込み (R): ユーザーは
- ファイルの内容を読むことができる
- ディレクトリ内容をリスト表示できる
- 書き込み (W): ユーザーは以下のような処理をファイルやディレクトリに加えて変更することができる:
- 追記/追加
- 生成/作成
- 削除/消去
- 改名
- 実行 (X): ファイルがプログラムなら、ユーザーはそれを実行させることができる。ディレクトリならそこに入ることができる(カレントディレクトリ)。
これらの権利と許可の実装は、「任意アクセス制御」(DAC)を使うシステムと「強制アクセス制御」(MAC)を使うシステムとでは異なる。
[編集] 説明可能性(Accountability)
[編集] アクセス制御技法
アクセス制御技法は任意と強制に分類される。任意アクセス制御と強制アクセス制御の違いを理解し、様々なアクセス制御手法がどちらに分類されるかを理解することが重要である。
[編集] 任意アクセス制御
任意アクセス制御(DAC)はファイル(あるいは他のリソース)の所有者がアクセス方針を決定する。所有者がアクセスを許可する人を決め、その人への認可(与えられる権利)も決定する。
DACにおける重要なコンセプトは以下の2つである。
- ファイルとデータの所有権:システム内の全オブジェクトに所有者が設定される。このアクセス方針はリソース(ファイル、ディレクトリ、データ、システム資源、デバイスなど)の所有者が決定する。理論的には所有者のいないオブジェクトは保護されない。通常、リソースの所有者はそのリソースの作成者である(ファイルやディレクトリの場合)。
- アクセス権とパーミッション:これらは、所有者が特定のリソースについて個々のユーザーまたはグループに割り当てることができる制御情報である。
任意アクセス制御は以下のような技術によって適用される。
- アクセス制御リスト(ACL)は、与えられたオブジェクトについてサブジェクト毎に権利とパーミッションを割り当てる。ACLは任意アクセス制御を実現する柔軟な手法である。
- ロールベースアクセスコントロールは、組織的・機能的なロール(役割)に基づいてサブジェクトのグループ化を行う。これはアクセス権とパーミッションの管理を大幅に単純化するものである。
オブジェクトのアクセス権とパーミッションは任意のグループや個人に割り当てられる。個人は複数のグループに属することができる。個人が属する複数のグループ毎のパーミッションの累積(いずれかのグループでパーミッションが与えられていれば、そのパーミッションが有効)を許す場合もあるし、その逆(属する全グループでパーミッションが与えられていないと、そのパーミッションは無効)の場合もある。
[編集] 強制アクセス制御
強制アクセス制御(MAC)は所有者ではなくシステムが決定するアクセス方針である。MACが使われるのは政府や軍の情報のような機密データを扱う多重レベルシステムである。多重レベルシステムとは、サブジェクトやオブジェクトを複数のレベルにクラス分けするコンピュータシステムを意味する。
- 機密ラベル(Sensitivity Label):MACベースのシステムでは、全サブジェクトと全オブジェクトにラベルが割り当てられる。サブジェクトの機密ラベルはその信頼度を表す。オブジェクトの機密ラベルはアクセスに要求される機密ラベルを示している。あるオブジェクトにアクセスするには、サブジェクトはオブジェクトが要求する機密ラベルかそれ以上のラベルを持っていなくてはならない。
- データのインポートとエクスポート:他のシステムからの情報のインポートと他のシステムへの情報のエクスポート(プリンタを含む)はMACベースシステムの最も危険な部分である。そのような外界とのやり取りにおいても機密ラベルが正しく働くよう日常からメンテナンスを欠かさないようにし、常に機密情報を保護しなければならない。
強制アクセス制御は以下のような技術によって適用される。
- ルールベースアクセス制御:このタイプの制御では特定の条件下でのオブジェクトへのアクセスについて規定する。全てのMACベースシステムは何らかの形でルールベースアクセス制御を実装し、以下のマッチングによってアクセスを許可するか否認するかを決定する。
- オブジェクトの機密ラベル
- サブジェクトの機密ラベル(クリアランス)
- ラティス(束)ベースアクセス制御:複数のオブジェクトや複数のサブジェクトが関わる複雑なアクセス制御に使用される。ラティスモデルとは数学的構造であり、オブジェクトとサブジェクトの組合せの集合から最大の下限値と最小の上限値を定義するものである。
[編集] ロールベースアクセスコントロール
コンピュータセキュリティにおいてロールベースアクセスコントロール(RBAC)は、認可されたユーザーだけにシステムアクセスを限定する手法で、強制アクセス制御(MAC)や任意アクセス制御(DAC)の代替となる新たな手法である。
[編集] 通信
通信においては、アクセス制御は以下のような意味を持つ。
- 通信システムの構成要素の使用を許可するかしないかを指定されるサービス機能/技術(例えば電話の各種サービスをユーザーが使えるか使えないかなど)
- 個人やアプリケーションが記憶装置とデータをやりとりできるかできないかを定義する技術、またはその定義そのもの。これには、ロールベースアクセスコントロール、強制アクセス制御、任意アクセス制御がある。
- AISのリソースにアクセスできるユーザー、プログラム、プロセスなどを制限する処理
- Resource Allocator の機能であり、ユーザー要求に対応してリソースを割り当てる
[編集] 公共政策のアクセス制御
公共政策において、システムへのアクセスを制限(認可)し、システム内の行動を監視記録(説明可能性)するアクセス制御は、セキュリティや社会統制のための信頼できるシステムで実装される機能である。
