Tテクノロジー

必須のアクセス制御 MAC: 仕組み

必須のアクセス制御
目次 隠す
  1. アクセス制御とは
  2. 必須アクセス制御 MAC とは何ですか?
  3. 強制アクセス制御 MAC の基本的な概念は何ですか?
  4. MACの長所と短所
    1. メリット
    2. デメリット
  5. 必須アクセス制御 MAC を使用する必要があるのはいつですか?
  6. その他のアクセス制御方法
    1. #1。 ルールベースのアクセス制御
    2. #2。 役割ベースのアクセス制御
    3. #3。 属性ベースのアクセス制御
    4. #4。 任意アクセス制御
  7. 必須アクセス制御と任意アクセス制御の違いは何ですか?
  8. まとめ
  9. 必須アクセス制御に関するよくある質問
  10. MACとDACの違いは何ですか?
  11. Windows は MAC または DAC を使用しますか?
  12. DACモデルとは?
    1. 関連記事
    2. 参考文献

アクセス制御は、機密データへの不正アクセスを防止するために使用できるセキュリティ対策です。 しかし、強制アクセス制御 (MAC) はどのようにセキュリティに貢献するのでしょうか? 続きを読んで調べてください。

アクセス制御とは

ユーザーは、物理ネットワークやデジタル ネットワークを探索する際に、アクセスする必要がある、またはアクセスできないリソースや資産に頻繁にアクセスします。 これは特にデジタル システムに当てはまり、別のストレージ、アプリケーション、または処理場所への横方向の移行により、インフラストラクチャ全体が危険なセキュリティの脅威にさらされる可能性があります。

資産とリソースを分離しておくために、セキュリティ マネージャーは、特定のリソースにアクセスできるユーザーを定義する「アクセス制御」を利用します。

ユーザーがユーザー アカウントまたは ID を使用してシステムに入ることが認証および承認されると、アクセス制御システムは、そのユーザーがいつ、どこで、どのようにシステムを閲覧できるかを管理する制限を確立します。

表面的には、この概念は簡単に見えますが、リソースを不正アクセスから保護するのに役立つさまざまなアクセス制御スキーマがありますが、ここではその XNUMX つ、強制アクセス制御に焦点を当てます。

必須アクセス制御 MAC とは何ですか?

必須アクセス制御 (MAC) は、オペレーティング システムがデータの機密性とユーザー クリアランス レベルに応じてユーザーにアクセスを許可するアクセス制御モデルです。 このモデルでは、知る必要がある場合にのみアクセスが許可されます。ユーザーは、アクセスを受け取る前に、情報が必要であることを示さなければなりません。

強制アクセス制御 MAC は、非裁量制御モデルとも呼ばれます。これは、ユーザーまたはファイル所有者の裁量で制御が許可されないことを意味します。 MAC の制御メカニズムは、ゼロトラストの原則に従っています。

MAC は、最も安全なアクセス制御モデルと見なされています。 このモデルでは、アクセス ルールはシステム管理者によって手動で指定され、オペレーティング システムまたはセキュリティ カーネルによって厳密に適用されます。 彼らが開発したデータについても、通常のユーザーはセキュリティ プロパティを変更できません。

強制アクセス制御 MAC の基本的な概念は何ですか?

  1. 組織のリソースのプライバシーと機密性は、最も重要です。 他のユーザーのデータへの既定のアクセス権限や編集権限を持っている人はいません。
  2. アクセス プロビジョニングは一元管理されます。
  3. 分類とカテゴリを含むセキュリティ ラベルは、システム内の各人員とリソースに割り当てられます。

MAC でアクセスを取得する手順は次のとおりです。

  1. 管理者はアクセス制限を構成し、さまざまなプロジェクトやリソース タイプの機密レベルや許可などのセキュリティ パラメータを設定します。
  2. 各サブジェクト (データにアクセスするユーザーまたはリソース) とオブジェクト (ファイル、データベース、ポートなど) には、管理者によって一連の属性が与えられます。
  3. サブジェクトがオブジェクトにアクセスしようとすると、オペレーティング システムはサブジェクトのセキュリティ属性を評価し、アクセスを許可するかどうかを決定します。
  4. ユーザーは資格情報を入力して、アイテムにアクセスします。

オペレーティング システムは、機密性とクリアランス レベル (サブジェクトとオブジェクト間の分類の一致) を評価するだけでなく、サブジェクトとオブジェクト間のカテゴリの一致にも注意を払います。 ユーザーがオブジェクトに必要なカテゴリのメンバーでない場合、「極秘」分類を持っていても、ファイルへの完全なアクセス権が自動的に付与されるわけではありません。

「最高機密」機密レベルと「エンジニアリング プロジェクト」セキュリティ分類のデータを検討してください。 「極秘」クリアランス (分類) と技術文書へのアクセス許可 (カテゴリ) の両方を持つユーザーのみがアクセスできます。 これらのユーザーは、より低いレベルのセキュリティ クリアランスを必要とする資料にアクセスすることもできます。 一方、クリアランスのレベルが低い、または技術文書にアクセスできない従業員は、そのような情報にアクセスできません。

MAC は、サイバーセキュリティ システムに大きなメリットをもたらします。 ただし、考慮すべき多くの欠点があります。 強制アクセス制御の長所と短所を検討してください。

MACの長所と短所

メリット

  • 高レベルのデータセキュリティ – オブジェクトへのアクセスは管理者によって定義され、ユーザーはそのアクセスを変更できません。
  • 粒度 — 管理者は、ユーザー アクセス権限とオブジェクト アクセス パラメータを手動で構成します。
  • トロイの木馬攻撃に対する耐性 – ユーザーは、機密情報を解除したり、機密情報へのアクセスを提供したりできないため、トロイの木馬攻撃の影響を受けません。
  • エラーが少ない – 厳格で定期的に監視されるポリシーは、過剰な権限を持つユーザーにつながるシステム エラーの削減に役立ちます。
  • 厳密な分割 – 管理者はユーザーをサブセットに分割し、セキュリティ属性を利用して、これらのグループのリソース公開を制限します。

デメリット

  • 保守性 – セキュリティ レベルとクリアランスを手動で構成すると、管理者は常に注意を払う必要があります。
  • スケーラビリティ – MAC は自動的にスケーリングしません。 新しいユーザーとデータでは、オブジェクトとアカウント構成を頻繁に調整する必要があります。
  • 利用者の業務妨害 – ユーザーは、遭遇する新しいデータごとにアクセスを要求する必要があります。 独自のデータのアクセス パラメータを定義することはできません。

必須アクセス制御 MAC を使用する必要があるのはいつですか?

このアクセス制御モデルは、主に政府機関、軍隊、法執行機関で採用されています。 米国政府は、MAC を採用して機密情報を保護し、階層型のセキュリティ ポリシーとアプリケーションをサポートしています。 保険および銀行業界では、MAC を使用して顧客アカウント データへのアクセスを制御し、データ保護とコンプライアンスを強化しています。 この非任意アクセス制御モデルは、オブジェクトがプロシージャ、テーブル、ビュー、およびその他の機能であるデータベースへのアクセスを保護することもできます。

運用の柔軟性や費用よりもデータ セキュリティを優先する企業で MAC を採用することは理にかなっています。 システムが複雑で柔軟性がないため、民間組織での MAC の実装は一般的ではありません。

純粋な MAC モデルは、きめ細かく高度なセキュリティを提供します。 ただし、設定と管理は大変です。 その結果、MAC は他のアクセス制御スキームと組み合わされることがよくあります。

たとえば、役割ベースのモデルと組み合わせることで、ユーザー プロファイルの作成が迅速化されます。 管理者は、個々のユーザーごとにアクセス権を定義する代わりに、ユーザー ロールを作成できます。 同等の役割とアクセス権を持つユーザーは、同じ役職の従業員、サードパーティ ベンダーなど、すべての組織に存在します。 個々のユーザー プロファイルを最初から作成する代わりに、管理者はこれらのグループの役割を構成できます。

もう XNUMX つのよくある組み合わせは、DAC と略される随意アクセス制御モデルを備えた MAC です。 MAC は機密データを保護しますが、DAC は同僚が企業のファイル システム内で情報を共有できるようにします。

その他のアクセス制御方法

#1。 ルールベースのアクセス制御

この方法では、定義済みのルールとポリシーのセットに基づいて、ユーザーにアクセス許可を割り当てます。 これらのルールは、リソースへのアクセスを取得できる「コンテキスト」を確立します。 これらの制限は、「オブジェクト」 (処理権限、データ、アカウント アクセスなどのリソース) に関連付けられているアクセス制御リスト (ACL) で概説されています。

ルールベースのアクセスの例としては、特定の時間帯または場所へのシステム アクセスの制限 (たとえば、オフィスの場所またはその近くのデバイスへのアクセスの制限) があります。

#2。 役割ベースのアクセス制御

ロールベースのアクセスは、組織のユーザー ロールがアクセス許可を定義する方法です。 組織には、明確に定義された組織階層と、その階層内の責任に応じて明確に定義された一連の権限があります。 ロールに割り当てられたユーザーには、そのロールに関連付けられた権限が付与されます。

役割ベースのアクセスは非常に一般的です。 役割ベースのアクセス許可は、マルチユーザー システムで最もよく見られます。 公開サービス プロバイダー (電子メールやクラウド サービス プロバイダーなど) には、複数のアカウント カテゴリ (ユーザー、VIP ユーザー、管理者、モデレーターなど) があり、それぞれに独自のアクセス許可とアクセス制御の例があります。 共有環境を可能にするために、役割ベースのシステムでは、システム内で誰が何にアクセスできるかを制限します。

#3。 属性ベースのアクセス制御

属性ベースのシステムは、役割ベースのシステムやルールベースのシステムよりも細かくなっています。 リソース (ルール システムの場合) またはロール (ロール システムの場合) に関連付けられたルールのリストを調べるのではなく、属性ベースのシステムは、ユーザー アカウントから動的な情報を抽出して、より流動的で応答性の高いアクセス システムを作成できます。

企業が機密扱いの例を扱っているとします。 したがって、個々のユーザーが SECRET データへのアクセス用に指定される場合があります。これは、役割やリソースではなく、個人の属性になります。

これらのアクセス制御手法は相互に排他的ではありません。 たとえば、属性ベースおよび役割ベースのシステムを使用して、システムとデータのセキュリティを微調整できます。

#4。 任意アクセス制御

一方、随意アクセス制御 (DAC) を使用すると、顧客やビジネス エンド ユーザーはアクセス制御をさらに制御できます。 セキュリティ管理者はシステム全体でロールと権限を作成できますが、ユーザーはそのような権限をオーバーライドして、ビジネス資格情報に基づいてアクセスできる特定のユーザーにアクセスを提供できます。

この戦略は、企業が人々にアクセスを許可する方法に関して、ある程度の柔軟性を提供できます。 ローカル ビジネス管理者がローカル アクセス許可の更新または構成を怠ると、脆弱性が生じる可能性があります。 その結果、DAC は高度なメンテナンスが必要なテクノロジであり、適応性はありますが、定期的なメンテナンスが必要です。

必須アクセス制御と任意アクセス制御の違いは何ですか?

MAC と DAC は極性化されています。 いくつかの方法でさまざまなアクセス制御方法を共存させることができますが、相互に踏みつけずに DAC と MAC の両方を正常に処理することは (不可能ではないにしても) 困難です。

そうは言っても、これらの非互換性は、XNUMX つの手法の違いによって部分的に引き起こされます。 必須と任意は、いくつかの重要な点で異なります。

  • 保護: 強制的な裁量が正しく適用されると、より信頼性が高く予測可能な保護が提供されます。 任意のアクセス制御により、組織に重要な柔軟性がもたらされますが、個人と組織全体のアクセス許可の間で競合が発生する可能性もあります。
  • ユーザーコントロール: さらに、必須の制限はスキーマの外ではあまり柔軟ではありません。これには、アクセスに関連する組織のセキュリティ上の課題を解決するという正当な理由があります。 ただし、実際には、組織内の従業員の役職やユーザー属性が許可していない場合でも、特定のリソースへのアクセスを許可する必要がある場合があります。
  • 保守性: 通常、必須のアクセス制御はトップダウンで開発され、一元的に計画されます。 つまり、システム全体で堅牢な承認をサポートし、セキュリティと規制の要件を XNUMX つの場所に実装できます。

一方、エンドユーザーが不用意にローカルアクセス制御を実装したり、スタッフが離職または解雇されたときに権限リストを更新しなかったりすると、DAC が複雑になる可能性があります。

まとめ

強制アクセス制御 (MAC) は、個々のリソース所有者がファイル システム リソース オブジェクトへのアクセスを許可または禁止する能力を制限するセキュリティ メソッドです。 システム管理者は MAC 要件を定義します。MAC 要件は、オペレーティング システム (OS) またはセキュリティ カーネルによって厳格に適用され、エンド ユーザーが変更することはできません。

政府機関や軍事施設で一般的に使用されている強制アクセス制御は、各ファイル システム項目に分類ラベルを割り当てることによって機能します。 分類には、極秘、極秘、極秘の XNUMX つのレベルがあります。 システム上の各ユーザーとデバイスは、同じレベルで分類およびクリアされます。 人またはデバイスが特定のリソースにアクセスしようとすると、オペレーティング システムまたはセキュリティ カーネルがエンティティの資格情報をチェックして、アクセスが承認されているかどうかを判断します。 MAC は利用可能な最も安全なアクセス制御オプションですが、すべてのリソース オブジェクトとユーザーが正しく分類されるように、慎重な計画と定期的な監視が必要です。

MAC は、個々のリソース所有者が独自のルールを作成してセキュリティ制約を課すことを可能にする下位レベルの随意アクセス制御 (DAC) とは対照的に、最高度のアクセス制御です。

必須アクセス制御に関するよくある質問

MACとDACの違いは何ですか?

DAC の使用は安全性が低くなります。 MAC の使用はより安全です。 DAC の所有者は、ユーザーの ID に基づいて、アクセスと特権を定義し、リソースを制限できます。 MAC では、システムはアクセスのみを評価し、リソースは個人のクリアランスに基づいて制限されます。

Windows は MAC または DAC を使用しますか?

Windows、Linux、および Macintosh のすべてのバージョンと、ほとんどの種類の Unix を含むほとんどのオペレーティング システムは、DAC モデルに基づいています。

DACモデルとは?

随意アクセス制御 (DAC) は、アクセスがリソースの所有者によって決定されるアクセス制御のモデルです。 リソースの所有者は、誰がアクセス権を持ち、誰がアクセス権を持たないか、および彼らが持つアクセスの種類を制御できます。

参考文献

Peace はシニア コンテンツ ライター、ストラテジスト、編集者であり、その才能を BusinessYield などの組織に活かしています。彼女のバックグラウンドはコンテンツ作成とソート リーダーシップであり、B2B SaaS、専門マーケティング代理店、エンターテインメントの業界専門知識を備えています。カリフォルニア州オンタリオ州ミシサガに拠点を置き、ウォータールー大学でデジタル コミュニケーションとジャーナリズム イノベーションの修士号を取得しています。仕事が忙しくないときは、旅行したり、読書したり、炭水化物を食べるのが大好きです。 彼女は、財務およびマーケティングの豊富な経験に基づいてビジネス記事を書くのが大好きです。

コメントを残す

あなたのメールアドレスは公開されません。 必須フィールドは、マークされています *

—前の記事

ロールベースのアクセス制御 RBAC: 定義、歴史、および例

次の記事—

2023年に住宅ローンの借り換えにかかる費用

こんな商品もお勧めしています
ウェブサイトのデジタル購入体験を改善する 3 つの方法
続きを読む
    Tテクノロジー

    ウェブサイトのデジタル購入体験を改善する 3 つの方法

    目次 非表示 #1。 オンライン登録をオプションにする#2. エラーを修正しやすくする#3. …に投資する