アクセス制御
データやデバイスのアクセスコントロールを行い、権限のないユーザーからの不正利用を防ぐ。情報漏えい対策の基本。制御対象となるリソースを「オブジェクト」、アクセスする主体を「サブジェクト」と呼ぶ。
制御方式
制御方式として以下がある。
- 任意アクセス制御
- 自分自身のリソースに対してはユーザーがすべての権限を持つ。管理者による制限は行えない。
- 強制アクセス制御
- 管理者による強制的なアクセス制御が行える制御方式。ユーザーはたとえ自身が作成したリソースであっても、管理者により許されていなければ操作を行うことができない。
- ロールベースアクセス制御
- ロール(役割)を使って間接的に権限を付与する方式。ロールを介することで複数ユーザーへの権限の設定が容易に行える。
セキュアなシステムには強制アクセス制御が必要で、さらにロールベースで管理できると楽だよね、といった感じ。
アクセス制御における留意点
- 職務の分離
- 一人の管理者に権限を集中させない。権限の決定者とシステムへの設定者を別けるなど職務を分離し、相互に監査する状態を作る。
- 最小権限
- 必要最小限の権限を付与すること
- ログ
- アクセス権が適切に運用されているか評価するため、リソースに対するアクセスの記録をとる。(成功/失敗ともに!)また、定期的なログのチェックを行う。
参考: