「アクセス制御」の版間の差分
削除された内容 追加された内容
m ロボットによる 追加: sq:Kontrolli i hyrjes |
→コンピュータセキュリティのアクセス制御: 用語など |
||
5行目:
== コンピュータセキュリティのアクセス制御 ==
[[コンピュータセキュリティ]]にお
コンピュータセキュリティによるアクセス制御には、認証 (authentication)、認可 (authorization)、監査 (audit) が含まれる。それらは、物理的機器による手段として[[バイオメトリクス]]、金属錠、<!-- hidden paths って隠し通路? コンピュータとの関係がわからない;もしや隠しディレクトリ? -->[[デジタル署名]]、[[暗号化]]、社会的障壁、人間や自動化システムによる監視などを含む
アクセス制御システムは、基本サービスとして、識別と認証 (
=== 識別と認証 (I&A) ===
識別と認証は、システムにログ
* コンピュータ名
* [[MACアドレス]](Media Access Control)
* [[IPアドレス]]
* [[プロセス識別子|プロセスID]] (PID)
識別は
* ユーザーを完全に個人として特定する。
* ユーザーの地位や組織における重要性などで区別すべきでない(社長やCEOを特別扱いしない)。
* 共有アカウントを使うのを避ける(root、admin、sysadminなど)。
認証はユーザーが主張する識別情報を照合する(例えば、入力された[[パスワード]]とシステムに記憶されているパスワードとを比較する)。
認証は
*
*
*
=== 認可 ===
認可(または確立;
最近の[[オペレーティングシステム]]は、以下の3種類の基本型を拡張したパーミッションを定義している。
* 読
** ファイルの内容を読むことができる
** ディレクトリ内容をリスト表示できる
* 書
** 追記/追加
** 生成/作成
48行目:
* 実行 (X): ファイルがプログラムなら、ユーザーはそれを実行させることができる。ディレクトリならそこに入ることができる([[ディレクトリ|カレントディレクトリ]])。
これらの権利と許可の実装は、「[[任意アクセス制御]]」(DAC) を使うシステムと「[[強制アクセス制御]]」(MAC) を使うシステムとでは異なる。
=== 説明可能性
=== アクセス制御技法 ===
アクセス制御技法は任意と強制に分類される。任意アクセス制御と強制アクセス制御の違いを理解し、様々なアクセス制御手法がどちらに分類されるかを理解することが重要である。<!-- Security+ exam って試験の参考書のつもりだろうか? -->
==== 任意アクセス制御 ====
[[任意アクセス制御]] (DAC) はファイル(あるいは他の[[リソース]])の所有者がアクセス方針を決定する。所有者がアクセスを許可する人を決め、その人への認可(与えられる権利)も決定する。
DACにおける重要なコンセプトは
* ファイルとデータの所有権:システム内の全オブジェクトに所有者が設定される。このアクセス方針はリソース(ファイル、ディレクトリ、データ、システム資源、デバイスなど)の所有者が決定する。理論的には所有者のいないオブジェクトは保護されない。通常、リソースの所有者はそのリソースの作成者である(ファイルやディレクトリの場合)。
* アクセス権とパーミッション:これらは、所有者が特定のリソースについて個々のユーザーまたはグループに割り当てることができる制御情報である。
任意アクセス制御は
* [[アクセス制御リスト]] (ACL) は、与えられたオブジェクトについてサブジェクト
* [[ロールベースアクセス制御]]は、組織的・機能的なロール
オブジェクトのアクセス権とパーミッションは、任意のグループや個人に割り当てられる。個人は複数のグループに属することができる。個人が属する複数のグループ
==== 強制アクセス制御 ====
[[強制アクセス制御]] (MAC) は所有者ではなくシステムが決定するアクセス方針である。MACが使われるのは政府や軍の情報のような機密データを扱う多重レベルシステムである。多重レベルシステムとは、サブジェクトやオブジェクトを複数のレベルにクラス分けするコンピュータシステムを意味する。
* 機密ラベル (
* データのインポートとエクスポート:他のシステムからの情報のインポートと他のシステムへの情報のエクスポート(プリンタを含む)はMACベースシステムの最も危険な部分である。そのような外界とのやり取りにおいても機密ラベルが正しく働くよう日常からメンテナンスを欠かさないようにし、常に機密情報を保護しなければならない。
強制アクセス制御は
* ルールベースアクセス制御:このタイプの制御では特定の条件下でのオブジェクトへのアクセスについて規定する。
** オブジェクトの機密ラベル
** サブジェクトの機密ラベル(クリアランス)
* ラティス
==== ロールベースアクセス制御 ====
コンピュータセキュリティにおいて[[ロールベースアクセス制御]] (RBAC) は、認可されたユーザーだけにシステムアクセスを限定する手法で、強制アクセス制御 (MAC) や任意アクセス制御 (DAC) の代替となる新たな手法である。
==通信==
|