SC：対策技術 - 認証・アクセス制御のバックアップ(No.3) - .NET 開発基盤部会 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

認証・アクセス制御 ≒ 認証・認可。

これらの要素は認可（≒ アクセス制御）
を行う一連のプロセスに含まれる。

（識別と）認証
認可（≒ アクセス制御）

※ 基礎が参考になる。

認証 †

基礎 †

用語 †

真正性(Authenticity)
ある主体（subject）又は資源が、主張（claim）どおりであることを確実にする特性。

認証(Authentication)

真正性(Authenticity)を明らかにする行為が認証(Authentication)

認証(Authentication)のプロセスは、識別(Identification)と検証(Verification)で構成される。

識別(Identification)と検証(Verification)をざっくり説明すると、以下の様な感じ。
- 識別(Identification) ≒ ユーザID
- 検証(Verification) ≒ パスワード

認可(Authorization)と許可(Permission)

認可(Authorization)
認証(Authentication)の結果を用いて、アクセス制御を行う。
コレには、下記のリソースに付与された許可(Permission)の情報も使用している。

許可(Permission)
原則禁止のトコロ、許可する事を言うらしいが、
コンピューター界隈では、リソースに付与されている属性を指す。

言語上の混乱

日本では、二つの「認証」で混乱

Authentication
前述の認証で、2者間認証とも言う。

Certification
監査やデジタル署名で、3者間認証とも言う。

英語では、以下が紛らわしい（らしい。

Authentication
前述の認証(Authentication)

Identification
前述の識別(Identification)

参考
- Identification・Authenticity・Authentication・真正性 – IT Research Art
  http://www.itresearchart.biz/?p=1431

「認証」の意味を考える - Manaboo 電子政府・電子申請コラム
- （１）：日本語としての「認証」
  https://blog.goo.ne.jp/egovblog/e/cc73dc169f970e7498c2630668360c36
- （２）：コンピュータ用語としての「認証」
  https://blog.goo.ne.jp/egovblog/e/b9c836164e5a45dd1513b29cd11419c1
- （３）：英語としての「認証」
  https://blog.goo.ne.jp/egovblog/e/62b8e4194a4ee23c94d827e0a9a3400b
- （４）：認証のステップを整理する
  https://blog.goo.ne.jp/egovblog/e/112f204652a98e9325a47adc976ac18d

分類 †

対象
- 人の認証：各種本人認証手段による
- モノの認証：MACアドレスなど
- 情報の認証：デジタル署名など

各種本人認証手段
詳しくはコチラ
- ユーザが知っていること（知識情報）
- ユーザが持っているもの（所持情報）
- ユーザ自身の特徴（生体情報）

固定式パスワード †

特徴 †

方式
- 基本的な
- 簡単な
- 容易な
- 最古の

ちなみに、以下の条件で
作成可能なパスワードの総数 = M^n らしい。

使用可能な文字種 = M
使用可能な文字数 = n

脆弱性 †

運用面
ソーシャルエンジニアリングなどに対する非技術的な脆弱性

実装面
パスワード・クラックなどに対する技術的な脆弱性

ワンタイム・パスワード(OTP) †

特徴 †

ランダムな文字列を生成
覚える必要が無い

方式 †

チャレンジ＆レスポンス

S/Key

HOTP、TOTP

脆弱性 †

チャレンジ＆レスポンス
- サーバー自体の認証
- パスワードは平文

S/Key
- サーバー自体の認証
- パスフレーズの漏洩

HOTP、TOTP

バイオメトリクス認証 †

ICカードによる認証 †

その他さまざまな技術 †

シングルサインオン（SSO） †

認可（アクセス制御） †

基礎 †

以下から構成される。

利用者、若しくは利用者属性

リソースに与えられた、
利用者、若しくは利用者属性に対応する認可情報（パーミッション）
- 読み、書き、実行などの権限がある。
- これは、アクセス制御リスト（ACL）と呼ばれる。

実施 †

以下、アクセス制御が実施される場所

物理環境 †

コンピューター・システム的なものではなく、
環境的・物理的な、セキュリティ。

ネットワーク環境 †

ネットワーク機器やF/Wなどで制御できる範囲でのアクセス制御

ホストやアプリケーション †

ホストやアプリケーションに対するログインとアクセス制御

システム・リソース †

主に、OSの機能で実現されている。

種類 †

アクセス制御 - Wikipedia
https://ja.wikipedia.org/wiki/%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E5%88%B6%E5%BE%A1

任意（DAC） †

DAC : Discretionary Access Controls
Windowsなどの一般的なアクセス制御
所有者の裁量でアクセス権が決定されるため任意

強制（MAC） †

MAC : Mandatory Access Control
セキュアOSなどに実装がある。
所有者ではなくシステムが決定するアクセス方針
（サブジェクトやオブジェクトを複数のレベルにクラス分けする）

ロールベース（RBAC） †

RBAC : Role-Based Access Control
Windowsなどの一般的なアクセス制御
任意（DAC）にロール（利用者属性の一つ）を追加した方式

情報フロー制御 †

情報の流れを分析して情報が、
上位から下位に移動しないように制御する方式

MLSやBLPモデルで制御される。
- MLS : Multi Level Security
- 前述の強制（MAC）で利用される。
- MLSを数学的に定式化した状態遷移モデルがBLP（Bell–LaPadula? Model）

MLSによるアクセス制御ルール例

ユーザの機密レベル	情報の機密レベル	関係	アクセス制御ルール
ユーザの機密レベル	情報の機密レベル	関係	読取	追記	修正	実行
極秘	極秘	ユーザ＝情報	〇	〇	〇	〇
	秘	ユーザ＞情報	〇	×	×	〇
	一般	ユーザ＞情報	〇	×	×	〇
秘	極秘	ユーザ＜情報	×	〇	×	×
	秘	ユーザ＝情報	〇	〇	〇	〇
	一般	ユーザ＞情報	〇	×	×	〇
一般	極秘	ユーザ＜情報	×	〇	×	×
	秘	ユーザ＜情報	×	〇	×	×
	一般	ユーザ＞情報	〇	〇	〇	〇

説明
ユーザと情報の関係ですべて決まる。
- ユーザ＞情報：読取・実行のみ許可（参照）
- ユーザ＝情報：更新含め全て許可（当事者）
- ユーザ＜情報：追記のみ許可（報告）

実施 †

ある意味、PDCA的ではある。

(P) : 方針の明確化 †

方針＝アクセス制御のルール

例えば、前述のアクセス制御の種類のような。
具体的には、情報フロー制御のような。

(D1) : 実装の明確化 †

上記の方針をどのような技術で実装するか？

(D2) : 実装 †

実装の明確化≒仕様で、これを実装。

(C) : 適切性評価 †

方針や実装を評価し、

(A) : 見直し †

方針や実装を見直す。