任意のアクセス制御は、アクセス制御リストを使用して実装されます。 セキュリティー管理者はプロファイルを作成し、各オブジェクト (リソースまたはリソースのグループ) のプロファイルのアクセス制御リストを変更します。 このタイプの制御は、被験者が操作できるという意味で任意です。 リソースの所有者は、リソースにアクセスできるユーザーとその権限を決定できるためです。 この投稿では、随意アクセス制御 (DAC) とは何か、その例、および非随意アクセス制御とどのように分離するかを正確に学びます。
随意アクセス制御 (DAC) とは
随意アクセス制御 (DAC) と呼ばれる一種のセキュリティ アクセス制御は、所有者グループやオブジェクトのサブジェクトによって確立されたポリシーに基づいて、アイテムへのアクセスを許可または禁止します。 DAC アプローチのコントロールは、ユーザー ID によって定義されます。 ユーザー名やパスワードなど、ログイン時に提供される資格情報を利用する。 サブジェクト (所有者) は、認証されたオブジェクトまたは情報へのアクセスを他のユーザーに許可する権限を持っているため、DAC はオプションです。 つまり、所有者はオブジェクト アクセスの権限を制御します。
これらのシステムは、他のタイプのアクセス制御と比較して、最も多くのアクセス許可を提供し、最もカスタマイズ可能です。 ただし、柔軟性が非常に高いため、最も安全ではありません。 その理由は、一人の人間がシステムを完全に制御できるからです。 そして、彼らは、アクセスしてはならない人々にアクセスを提供することができます。 さらに、DAC システムは、セキュリティの専門家ではなく、ビジネス オーナーに制御を提供します。 これは、ユーザーのアクセス権と許可を超えています。 また、セキュリティのベスト プラクティスと推奨事項を完全に理解する必要があります。
したがって、このツールの最適なアプリケーションには、高度なセキュリティを必要としない企業が含まれます。 最も柔軟性と有用性を必要とする場所だけでなく。 典型的なユース ケースには、学校、コーチング施設、中小企業、新興企業、中小企業などがあります。
配置アクセス制御 (DAC) の長所と短所
DAC を利用する利点は次のとおりです。
- 使いやすさ: ユーザー インターフェイスは使いやすく、操作も簡単で、この方法により、データと権限の処理が比較的簡単になります。
- 柔軟性: このコントロールは、既に述べたように、他のユーザーへのアクセスを許可する最も簡単な方法を提供します。
- メンテナンスがほとんどない: これらのシステムは、継続的な修理や保守を必要としないため、管理が少なくて済みます。
以下は、随意アクセス制御を利用することのいくつかの欠点です。
- 信頼性が低い: ある人から別の人へのアクセスは簡単に移動でき、情報が社外に漏洩する可能性があるため、DAC は最も安全なソリューションではありません。
- データフローの監視が困難: DAC は分散化されているため、データ フローとアクセス許可を監視することは困難です。 これを実現する唯一の方法は、ACL (アクセス制御リスト) を使用することです。 ただし、これは従業員数が少ない中小企業の場合にのみ可能です。
アクセス制御にはどのような種類がありますか?
アクセス制御システムの XNUMX つの主要なタイプは、随意アクセス制御 (DAC)、役割ベースのアクセス制御 (RBAC)、および強制アクセス制御 (MAC) です。
随意アクセス制御が重要なのはなぜですか?
任意のアクセス制限により、セキュリティ リスクが軽減されます。 マルウェア攻撃と不正アクセスに対するファイアウォールを作成します。 アクセスを許可する前にバイパスする必要がある、高度に暗号化されたセキュリティ プロトコルを提供する。
任意アクセス制御方式をどのように実装できますか?
- アクセスを決定します。 オブジェクトを使用して何らかのポリシーに沿ったアクションを実行するサブジェクトの能力は、サブジェクトがオブジェクトにアクセスできるかどうかによって異なります。
- アクセス許可: アクセスを提供することで、誰かが特定のオブジェクトを使用できるようにすることができます。
随意アクセス制御の弱点とは?
- 過剰な権限または不十分な権限を持つユーザー: ユーザーは、ネストされた複数のワークグループの一部である場合があります。 権限に一貫性がない場合、ユーザーに付与される権限が過剰または不十分になる可能性があります。
- 限定的な制御: セキュリティ管理者が企業内のリソース割り当てを監視するのは困難です。
任意アクセス制御の例
たとえば、随意アクセス制御では、各システム オブジェクト (ファイルまたはデータ オブジェクト) には所有者またはオブジェクトの作成者がいます。 その結果、アイテムの所有者がアクセス ポリシーを決定します。 DAC の一般的な例は Unix ファイル モードです。これは、各ユーザー、グループ、およびその他の関係者の読み取り、書き込み、および実行権限を XNUMX つのビットのそれぞれで指定します。
DAC の機能は次のとおりです。
- ユーザーは、オブジェクトの所有者を変更できます。
- ユーザーは、他のユーザーが持つアクセスのレベルを決定する責任があります。
- 何度も試行した後、権限エラーによりユーザー アクセスが制限されます。
- ファイル サイズ、ファイル名、およびディレクトリ パスはすべて、権限のないユーザーには見えないオブジェクト属性です。
- ユーザー ID やグループ メンバーシップに基づいて、アクセス制御リスト (ACL) の承認時にオブジェクト アクセスが決定されます。
たとえば、営業担当者は請求システムへのアクセスを許可される場合があります。 特定の販売 ID 番号を含む顧客プロファイルに関連する請求活動を表示できるようにします。 ただし、他の顧客の請求活動ではありません。 アクセス権は特定のユーザーに合わせて調整できるためです。 ネットワーク全体を監視する担当者だけがすべてのデータにアクセスできます。 その結果、ハッカー、企業スパイ、または会社に対する正確な復讐の方法を探している不満を持った元従業員でさえ、犯罪を実行するためにそれを使用する可能性は低くなります.
DAC の正確な構成は、有用なプログラムの種類とアクセス権の分散方法によって異なります。 一部のオプションでは、特定のログイン資格情報を割り当てることができます。これは、後でこれらの各プログラムのアクセス許可を変更するのに役立ちます。
非任意アクセス制御
非任意アクセス制御 (NDAC) は、任意アクセス制御 (DAC) 以外の許可制御戦略を指します。 サブジェクトのクリアランスがオブジェクトの機密レベルと一致する場合にのみ認可が付与される必須アクセス制御 (MAC) は、NDAC と呼ばれることがよくあります。
非任意アクセス制御モデルの例
ユーザーは、自由裁量のないアクセス制御スキームの下で、自分の裁量でアクセスを譲渡することはできません。 非任意アクセス制御の例は次のとおりです。
- ロールベースのアクセス制御では、管理者が割り当てた責任に従ってアクセスが許可されます。
- ルールベースのアクセス管理では、確立されたルールに従ってアクセスが決定されます。 この種のアクセス制限は、ルーターやファイアウォールでネットワーク セキュリティを維持するために広く使用されています。
- 属性ベースのアクセス管理では、役職、チーム、場所、デバイスなどのユーザー属性によってアクセスが決定されます。
任意アクセス制御と非任意アクセス制御の違いは何ですか?
非裁量的な費用には、家賃、税金、借金の支払い、食費などが含まれます。 任意費用とは、必要とみなされる以上の出費です。
MACとDACの違いは何ですか?
DAC と MAC の主な違いは、前者がアクセス制御方式を使用することです。 リソース所有者がアクセスを制御し、後者はユーザーのクリアランス レベルに基づいてアクセスを許可します。
DACのモデルは?
ID ベースのアクセス制御パラダイムである DAC モデルは、ユーザーがデータをある程度制御できるようにします。
よくある質問
随意アクセス制御とは何ですか?
随意アクセス制御 (DAC) と呼ばれる一種のセキュリティ アクセス制御は、所有者グループやオブジェクトのサブジェクトによって確立されたポリシーに基づいて、アイテムへのアクセスを許可または禁止します。
3種類のアクセス制御とは何ですか?
アクセス制御システムの XNUMX つの主要なタイプは、随意アクセス制御 (DAC)、役割ベースのアクセス制御 (RBAC)、および強制アクセス制御 (MAC) です。
MACとDACの違いは何ですか?
DAC と MAC の主な違いは、前者はリソース所有者がアクセスを制御するアクセス制御方式を使用するのに対し、後者はユーザーのクリアランス レベルに基づいてアクセスを許可することです。
関連記事
- 裁量的投資管理:概要、利点、およびリスク
- 自由裁量所得の定義:定義とは何か、違いと例
- 裁量的財政政策:2023年の決定的なガイド(+詳細な例)
- Active Directory 管理ツール: その概要と知っておくべきこと
参考文献
