アクセス制御は資産を保護するセキュリティ機能
- ツイート
-
- 2015/06/30
今回はセキュリティの要であるアクセス制御において頻繁に出てくる用語をお伝えします。 応用力を高めるためにも、まずは正しい意味を理解しましょう。
IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。
目次
アクセス制御とは
コンピュータセキュリティにおけるアクセス制御とは何なのでしょうか。
アクセス制御は、システムやネットワーク、情報などの資産に対して、 誰がどの程度の範囲でアクセスできるのかをコントロールし、資産を保護するセキュリティ機能のことです。
組織においては、アクセス権限の制御や制限、モニタリングにより、情報資産を保護します。 権限のないユーザーの不正なアクセスから資産を保護するための最初の防衛線とされています。
アクセス制御という言葉は、不正なアクセスから資産を守るための、いくつかの異なるタイプのメカニズムを含む広義の用語です。 この言葉には、「識別」「認証」の他、ユーザーにアクセス権を与える「認可」や「アカウンタビリティ」も含まれています。
識別とは
ユーザー名やID等によりユーザーからアクセス制御システムに識別情報が提供されることです。
認証とは
パスワードや生体認証を通じて本当に本人に間違いないか、システム側が検証することです。
認可とは
認証されたユーザーが当該ネットワークやシステムで許可される操作の範囲を決定することです。 ユーザーのアクセス権やパーミッションの範囲は、IDや許可、どのグループに所属しているか等によって決定されます。
アカウンタビリティとは
許可されたユーザーの活動を追跡する監査ログおよび監視のことです。
アクセスとは
そもそもアクセスとは何なのでしょうか。 より具体的に解説します。
アクセスとは、サブジェクトとオブジェクトとの間を、情報が流れることをいいます。
サブジェクトとは
何らかの行為を行おうとする能動体のことで、人間やプログラム、プロセスのことです。
オブジェクトとは
サブジェクトによる行為を受ける側(受動体)のことで、 コンピュータやデータベース、システムやファイルのことです。
アクセス制御においては、オブジェクトを保護の対象にしており、 オブジェクトを保護するためにサブジェクトの行為を制限します。
サブジェクトは、アクセス制御によって識別・認証・認可が行われた後、 正当な権限があると認められ、その行動に責任を負います。
無事にオブジェクトにアクセスできると、ファイルを読んだり書いたり、実行するなどの操作が行えます。
リファレンスモニタ(RM)とは
すべてのオブジェクトへのアクセスを正しく監視するために、 リファレンスモニタというアクセス制御システムが導入されることがあります。
従来のオペレーティングシステム(OS)においては、特権を持つユーザーがコンピュータ全体を完全に支配できました。 その分、いったん特権ユーザーの権限が不正により奪われると、 コンピュータのすべてが不正なユーザーに乗っ取られてしまうという危険性もはらんでいました。
セキュアなOSでは、このような問題を解決するために、リファレンスモニタを導入しています。 リファレンスモニタは、コンピュータ上に存在する全データへのアクセスをコントロールし、 サブジェクトがオブジェクトにアクセス可能かを決定します。 その結果、リファレンスモニタにはすべてのアクセス要求が通過することになります。
リファレンスモニタ自身が不正により修正や回避されないよう、 注意しなければなりません。