アクセス制御
スポンサードリンク
識別情報に基づいて情報資産に対する権限があるものとないものに区別し、権限のあるものにのみアクセスを許可する仕組みをアクセス制御といいます。
アクセス制御は暗号化と並び、情報資産の機密性を確保するための基本的な技術です。
アクセス制御では、アクセスする主体を「サブジェクト」、アクセス対象となるリソースを「オブジェクト」と呼びます。またアクセス権限を決定するためのセキュリティポリシーは、「職務の分離」、「最小権限」の2つのルールに従うことが重要になります。
アクセス制御モデルの種類と概要について以下に示します。
任意アクセス制御(DAC:Discretionary Access Control)
オブジェクトの所有者により、サブジェクトのアクセス権が設定されるモデルです。DACは、主にOSで採用される方式で、所有者の裁量次第でファイルなどへのアクセス権を決定するため十分な機密情報保護は困難です。
強制アクセス制御(MAC:Mandatory Access Control)
サブジェクトとオブジェクトの機密ラベルに基づきシステム情報へのアクセス制御を行うモデルです。強制アクセス制御には、情報フロー制御やMLS (Multi-Level
Security)があり、保護する対象とそれを操作する者に対して、それぞれセキュリティレベルを付与し、セキュリティレベルを比較することによって強制的にアクセス制限を行うというものです。
ロールベースアクセス制御(RBAC: Role Base Access Control)
サブジェクトの役割(ロール)に基づいてアクセス制御を行うモデルです。オブジェクトに対してサブジェクトの役割に応じて実行できる機能を限定するものです。
|
|
|
|