アクセス制御

アクセス制御 とは †

名称 †

• アクセスコントロール

概要 †

• 情報資産に対して権限のある者のみアクセスを許可する技術・仕組み
• 情報資産の機密性を確保するための技術・仕組み

実行できる権限の種類 †

• 閲覧・参照
• 修正・更新
• 削除
• 処理の実行

アクセス制御の流れ †

• 識別と認証
  • 対象：機器、利用者、プロセス、パケット
• 認可
  • 許可情報：読み込み、書き込み、実行
  • 利用者の属性やACLによって決まる

アクセス制御が行われる対象 †

ネットワーク環境 †

• ネットワークセグメント間の通信を設定したルールに基づいて制御する
• アクセス制御を行うネットワーク機器
  • ブリッジ、L2スイッチ
  • ルータ、L3スイッチ
  • ゲートウェイ、L4-7スイッチ
  • ファイアウォール
  • IPS
  • WAF

ホスト、システム †

• パスワード認証などを用いて、ユーザの識別・認証を行ってユーザのアクセスを制御する

システムリソース †

• ユーザーやグループの識別情報によって、ディレクトリ・ファイル・プログラムなどへのユーザーのアクセスを制御する

アクセス制御の種類 †

任意アクセス制御 †

• DAC (Discretionary Access Control)
• ファイル等のシステム資源の所有者が、ファイル等に読み込み、書き込み、実行等のアクセス権を設定する方式
• OSで使われる

強制アクセス制御 †

• MAC (Mandatory Access Control)
• 保護する対象(情報、ファイル等)と操作する者(プロセス、ユーザ等)に対してセイキュリティレベルを付与して、お互いを比較してアクセスを制御する方式
• セキュリティポリシー（プロファイル）に従い、全てのプロセスの動作を厳しく制限する機能。
• Trusted OSで使われる
• ソフトウェア：SELinux、AppArmor

ロールベースアクセス制御 †

• RBAC (Role-Based Access Control)
• ユーザのロール(役割)に応じてアクセス権を設定する方式
• ユーザには必ずロールを割り当てる
• 1人のユーザに複数のロールを割り当てることもある

情報フロー制御 †

• ユーザの情報の操作(読み出し、書き込み)により、情報が広がっている流れを分析して、情報の取り扱いレベルが下がらないように制御する方式

• MLS
  • Multi-Level Security
  • 保護する対象と操作する者に対して機密レベルにより階層分けしてラベルを付与して、情報の取り扱いレベルが下がらないように制御する方式
  • BLP (Bell-LaPadula)モデル
    • MLSを数学的に定型化した状態遷移モデル
    • TCSECのベースになったモデル

アクセス制御のルール設定のモデル †

ポジティブセキュリティモデル †

• デフォルト：全て拒否
• 許可するルールを登録する(ホワイトリスト)
• 活用例：ファイアウォール

ネガティブセキュリティモデル †

• デフォルト：全て許可
• 許可するルールを登録する(ブラックリスト)
• 活用例：コンテンツフィルタリング

関連用語 †

• AAAフレームワーク
• ACL
• CASB
• IAM
• IAP
• 最小権限の原則(PoLP)
• フィルタリング
• 不正アクセス禁止法