「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- これらの要素は認可(≒ アクセス制御)
を行う一連のプロセスに含まれる。
※ 基礎が参考になる。
認証 †
基礎 †
用語 †
- 真正性(Authenticity)を明らかにする行為が認証(Authentication)
- 認証(Authentication)のプロセスは、識別(Identification)と検証(Verification)で構成される。
- 識別(Identification)と検証(Verification)をざっくり説明すると、以下の様な感じ。
- 識別(Identification) ≒ ユーザID
- 検証(Verification) ≒ パスワード
- 認可(Authorization)と許可(Permission)
- 認可(Authorization)
認証(Authentication)の結果を用いて、アクセス制御を行う。
コレには、下記のリソースに付与された許可(Permission)の情報も使用している。
- 許可(Permission)
原則禁止のトコロ、許可する事を言うらしいが、
コンピューター界隈では、リソースに付与されている属性を指す。
- Authentication
前述の認証で、2者間認証とも言う。
- Certification
監査やデジタル署名で、3者間認証とも言う。
- Authentication
前述の認証(Authentication)
- Identification
前述の識別(Identification)
- 「認証」の意味を考える - Manaboo 電子政府・電子申請コラム
分類 †
- 対象
- 人の認証:各種本人認証手段による
- モノの認証:MACアドレスなど
- 情報の認証:デジタル署名など
- 各種本人認証手段
詳しくはコチラ
- ユーザが知っていること(知識情報)
- ユーザが持っているもの(所持情報)
- ユーザ自身の特徴(生体情報)
固定式パスワード †
特徴 †
- ちなみに、以下の条件で
作成可能なパスワードの総数 = M^n らしい。
- 使用可能な文字種 = M
- 使用可能な文字数 = n
脆弱性 †
ワンタイム・パスワード(OTP) †
特徴 †
方式 †
脆弱性 †
バイオメトリクス認証 †
ICカードによる認証 †
その他さまざまな技術 †
シングルサインオン(SSO) †
認可(アクセス制御) †
基礎 †
以下から構成される。
- リソースに与えられた、
利用者、若しくは利用者属性に対応する認可情報(パーミッション)
- 読み、書き、実行などの権限がある。
- これは、アクセス制御リスト(ACL)と呼ばれる。
実施 †
以下、アクセス制御が実施される場所
物理環境 †
コンピューター・システム的なものではなく、
環境的・物理的な、セキュリティ。
ネットワーク環境 †
ネットワーク機器やF/Wなどで制御できる範囲でのアクセス制御
ホストやアプリケーション †
ホストやアプリケーションに対するログインとアクセス制御
システム・リソース †
主に、OSの機能で実現されている。
種類 †
任意(DAC) †
強制(MAC) †
- MAC : Mandatory Access Control
- セキュアOSなどに実装がある。
- 所有者ではなくシステムが決定するアクセス方針
(サブジェクトやオブジェクトを複数のレベルにクラス分けする)
ロールベース(RBAC) †
情報フロー制御 †
- 情報の流れを分析して情報が、
上位から下位に移動しないように制御する方式
- MLSやBLPモデルで制御される。
- MLS : Multi Level Security
- 前述の強制(MAC)で利用される。
- MLSを数学的に定式化した状態遷移モデルがBLP(Bell–LaPadula? Model)
- MLSによるアクセス制御ルール例
ユーザの機密レベル | 情報の機密レベル | 関係 | アクセス制御ルール |
読取 | 追記 | 修正 | 実行 |
極秘 | 極秘 | ユーザ=情報 | 〇 | 〇 | 〇 | 〇 |
秘 | ユーザ>情報 | 〇 | × | × | 〇 |
一般 |
秘 | 極秘 | ユーザ<情報 | × | 〇 | × | × |
秘 | ユーザ=情報 | 〇 | 〇 | 〇 | 〇 |
一般 | ユーザ>情報 | 〇 | × | × | 〇 |
一般 | 極秘 | ユーザ<情報 | × | 〇 | × | × |
秘 |
一般 | ユーザ>情報 | 〇 | 〇 | 〇 | 〇 |
- 説明
ユーザと情報の関係ですべて決まる。
- ユーザ>情報:読取・実行のみ許可(参照)
- ユーザ=情報:更新含め全て許可(当事者)
- ユーザ<情報:追記のみ許可(報告)
実施 †
ある意味、PDCA的ではある。
(P) : 方針の明確化 †
方針=アクセス制御のルール
(D1) : 実装の明確化 †
上記の方針をどのような技術で実装するか?
(D2) : 実装 †
実装の明確化≒仕様で、これを実装。
(C) : 適切性評価 †
方針や実装を評価し、
(A) : 見直し †
方針や実装を見直す。