アクセス制御

アクセス制御

アクセス制御とは、識別情報に基づいて情報資産に対する権限保持者と非権限保持者を区別し、許可／不許可を行う仕組みです。

• 論理的アクセス制御（システム的アクセス制御）
  • システム上の機能として利用者や利用法を制御する仕組み。
  • ログインユーザやファイルアクセス権限の設定など。
• 物理的アクセス制御
  • 物理的に制限を設けることで利用者や利用法を制御する仕組み。
  • 建物、フロア、部屋などをセキュリティレベルに応じて区分けした入退室など。

アクセス制御の種類

任意アクセス制御(Discretionary Access Control:DAC)

ファイルやシステムなどの所有者またはユーザーグループが、読取・書込・実行などのアクセス権限を設定する方式です。

一般的なOSで採用されており、柔軟な設定ができますが、機密保護としては十分とはいえません。

なお、アクセス制御リスト(ACL)は、与えられたオブジェクトについてサブジェクトごとに権利と許可を割り当てる概念であり、任意アクセス制御を実現する手法であるといえます。

強制アクセス制御(Mandatory Access Control:MAC)

保護対象「オブジェクト」と操作者「サブジェクト」に対してそれぞれセキュリティレベルを付加して、レベルを比較することで強制的なアクセス制限を行う方式です。

ファイル所有者であってもアクセス権を任意に設定することができない仕組みとなります。

ロールベースのアクセス制御（RBAC：Role-Based Access Control）

RBACは、ロール（役割）に基づいてオブジェクトへのアクセスを制御します。

ユーザはシステムにおけるロール（役割）によって実行できる操作が制限されます。

情報フロー制御

異なるアクセス権限をもつ複数のユーザが情報の入力と出力を繰り返すことで、情報がどのような流れで伝播するかを分析し、情報が取り扱いレベルの上位から下位に移動しないようにアクセス制御する方式です。

MLS(Multi Level Security)

情報フロー制御に基づくアクセス制御の仕組みです。

保護対象「オブジェクト」と操作者「サブジェクト」をそれぞれセキュリティレベルで区分けし、階層的に権限ラベルを付加します。

ユーザの機密レベルと情報の機密レベルを比較し、上位・同位・下位の情報に対する操作を制限することでアクセス制御を行います。

関連ページ

• セキュリティ
• アクセス制御
• ファイアウォール
• 侵入検知システム
• 侵入防御システム