アクセス制御 -情報処理シンプルまとめ

セキュリティ
2024.02.02

 基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,アクセス制御についてシンプルにまとめています。まず,アクセス制御(アクセスコントロール)の概要について説明し,その後,アクセス制御の機能(認証,認可(アクセス権(パーミッション)),監査),アクセス制御の種類(任意アクセス制御(DAC),強制アクセス制御(MAC),役割ベースアクセス制御(RBAC),属性ベースアクセス制御(ABAC)),アクセス制御技術(ファイアウォール,侵入検知システム(IDS)と侵入防止システム(IPS))について説明しています。各用語について,確実に理解できるよう努めましょう。

アクセス制御(アクセスコントロール)

 アクセス制御とは,コンピューターやネットワークなどにアクセスできる利用者を制限し,特定の条件を満たした利用者だけがアクセスできるようにすることをいいます。

アクセス制御の機能

認証

 認証とは,システムの利用者や機器(物)などを,何かの情報を基にその真正性を確認することをいいます。本人認証のことを認証という場合が多いですが,他にも,送信データの改ざんの有無を確認するメッセージ認証や,あるデータがある時刻に存在し,その後,改ざんされていないことを確認する時刻認証などがあります。

※ 真正性…通信相手が主張どおり(本物)であることを確認する特性のこと

※ 認証についての詳細は,「認証 -情報処理シンプルまとめ」を参照

認証 -情報処理シンプルまとめ
基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,認証についてシンプルにまとめています。はじめに,認証者と被認証者,第三者認証についての説明を,次に,認証の種類とディジタル署名について説明します。そして,本人認証については,パスワード認証(パスワードの保管,ソルト),ワンタイムパスワード(リプレイ攻撃対策,チャレンジレスポンス認証,時刻同期方式による認証(トークンによる認証),ハッシュ関数を用いた認証(S/Key)),所有物による認証(USBメモリ,ICカード(接触型,非接触型),スマートフォンなど),生体(バイオメトリクス)認証(指紋認証,静脈認証,虹彩認証,顔認証,DNA認証,筆跡,声紋,キーストローク,本人拒否率,他人受入率など),リスクベース認証,CAPTCHAを,メッセージ認証については,MAC,HMACの説明をします。さらに,公開鍵基盤(PKI)(認証局(CA),登録局(RA),発行局(IA),リポジトリ,CRL,OCSP)や時刻認証(タイムスタンプ,TSA)についても説明します。たくさんありますが,どれも大切な内容ですので,理解できるまで繰り返し,じっくり読んでみてください。
johostudy.com
2024.03.02

認可

 認可とは,システムの利用者に,特定の操作の権限を付与することをいいます。たとえば,UNIX系のOSでは,ファイルやディレクトリーにアクセス権(パーミッション)を設定することができます。

lsコマンドの説明画像
アクセス権(パーミッション)

 上の例で,アクセス権の最初の文字は,ファイルの種類を表します。「-」はファイルを,「d」はディレクトリーを表します。次の9文字は,3文字ずつ3つのグループに分けられ,それぞれ,所有者,(所有者の)グループ,その他のユーザーのアクセス権を表します。「r」は読み取り可能,「w」は書き込み可能,「x」は実行可能(ディレクトリーの場合は検索可能)を表します。

ファイルのアクセス権に関する説明画像

 この場合,所有者は,このファイルに対して読み取りと書き込みをすることができますが,グループとその他のユーザーは,読み取りしかできません。

 また,アクセス権については,数値で表すこともできます。

※ アクセス権の設定や変更の際には,この数値を使用する

アクセス権の変更に関する説明画像

監査

 監査では,認証や認可のログを記録し,各ユーザーが想定どおりにアクセスしているか,あるいは,想定外のユーザーがアクセスしていないかなどを確認します。ログを記録することにより,仮に不正アクセスが発生した場合でも,その原因の分析と対策をすることが可能になります。

アクセス制御の種類

任意アクセス制御(DAC;Discretionary Access Control)

 任意アクセス制御とは,(ファイルなど)オブジェクトの所有者(ユーザー)がアクセス権を指定(制御)することをいいます。管理者の手間は省けますが,ユーザーごとに管理方法がバラバラになる恐れがあります。

強制アクセス制御(MAC;Mandatory Access Control)

 強制アクセス制御とは,管理者や担当者などがアクセス権を指定(制御)することをいいます。ユーザーがアクセス権を勝手に変更することはできませんので,機密文書などを取り扱う場合に向いています。

※ 一般ユーザーに対して,閲覧自体を拒否することもできる

役割ベースアクセス制御(RBAC;Role-Based Access Control)

 役割ベースアクセス制御とは,(役員や一般社員など)役割ごとにアクセス権を指定(制御)することをいいます。

属性ベースアクセス制御(ABAC;Attribute-Based Access Control)

 属性ベースアクセス制御とは,(IPアドレスや時間など)属性ごとにアクセス権を指定(制御)することをいいます。

アクセス制御技術

ファイアウォール

 ファイアウォールとは,必要な通信のみを通過(不必要な通信は遮断)させる,アクセス制御の概念のことをいいます。サーバーでソフトウェアとして動作するものや,専用の機器として提供されるものがあり,セキュリティレベルが異なるネットワークの間(セキュリティ境界)に設置されます。

※ ファイアウォールの詳細は,「ファイアウォール -情報処理シンプルまとめ」を参照

ファイアウォール -情報処理シンプルまとめ
基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,ファイアウォールについてシンプルにまとめています。ファイアウォールの概要と機能の説明からはじめ,DMZ,バリアセグメント,ファイアウォールの構成(ファイアウォールを1台設置し公開サーバーをバリアセグメントに設置する場合,ファイアウォールを1台設置し公開サーバーをDMZに設置する場合,ファイアウォールを1台設置し公開サーバーをバリアセグメントに設置する場合,ファイアウォールを2台設置する場合),公開サーバー,ファイアウォールの分類(パケットフィルタリング方式(ACL(アクセス制御リスト),静的フィルタリング(スタティックパケットフィルタリング),動的フィルタリング(ダイナミックパケットフィルタリング),ステートフルインスペクション),サーキットゲートウェイ(トランスポートゲートウェイ)方式,アプリケーションレベルゲートウェイ方式(プロキシサーバー,リバースプロキシサーバー)),ファイアウォールの管理(ACLの管理,ログの管理(ログサーバー,syslog)),ファイアウォールの付加機能(認証と暗号化,侵入検知と侵入防止,ウイルススキャン,スパムメールフィルタリング),WAF(ブラックリスト方式,ホワイトリスト方式,シグネチャベース方式,ルールベース方式)を説明しています。いろいろありますので定着には時間がかかると思いますが,じっくり読んでみましょう。
johostudy.com
2024.02.07

侵入検知システム(IDS)と侵入防止システム(IPS)

侵入検知システム(IDS;Intrusion Detection System) 

 侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。

※ 不正アクセスを防止することはできない

侵入防止システム(IPS;Intrusion Prevention System)

 侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。

※ 侵入検知システムを発展させたシステム

※ 侵入検知システム(IDS)と侵入防止ステム(IPS)の詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS) -情報処理シンプルまとめ」を参照

侵入検知システム(IDS)と侵入防止システム(IPS) -情報処理シンプルまとめ
基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,侵入検知システム(IDS)と侵入防止システム(IPS)についてシンプルにまとめています。はじめに,侵入検知システムと侵入防止システムの概要,分類(NIDS,HIDS,NIPS,HIPS)を説明し,その後,検知方法(不正検知型(シグネチャ型),異常検知型(アノマリ型)),フォールスネガティブ,フォールスポジティブについて説明しています。確実に理解できるよう,頑張りましょう。
johostudy.com
2023.12.23

まとめ

 今回は,アクセス制御について,シンプルにまとめてみました。各内容について,しっかり理解できるよう頑張りましょう。