任意アクセス制御 (DAC) は、データまたはリソースの所有者によって決定されたアクセス ポリシーを提供するアクセス制御システムの一種です。所有者は、他のユーザーまたはプロセスへのアクセスを許可または拒否する裁量を持ちます。
任意アクセス制御の起源と進化
裁量アクセス制御の概念は、共有コンピューティング システムの初期の時代、特に 1960 年代に開発された Multics (多重化情報およびコンピューティング サービス) システムに遡ります。 Multics システムには初歩的な形式の DAC が含まれており、これが後に最新のアクセス制御システムのインスピレーションとなりました。 DAC は、1980 年代に米国国防総省の「オレンジ ブック」が発表されて正式な概念となり、DAC を含むいくつかのレベルのセキュリティ管理が定義されました。
任意アクセス制御の理解を深める
裁量アクセス制御は、裁量特権の原則に基づいています。これは、データまたはリソースを所有する個人またはエンティティが、そのデータまたはリソースに誰がアクセスできるかを決定する権限を持っていることを意味します。この制御は、読み取り権限と書き込み権限の両方に拡張できます。 DAC では、ユーザーまたはユーザー グループが特定のリソースに対して持つアクセスの種類を指定するアクセス制御リスト (ACL) が維持されます。
任意アクセス制御の内部構造と機能
DAC モデルは、主に、アクセス制御リスト (ACL) と機能テーブルという 2 つの主要コンポーネントに依存しています。ACL は各リソースまたはオブジェクトに関連付けられており、サブジェクト (ユーザーまたはプロセス) のリストと付与された権限が含まれています。一方、機能テーブルは、特定のサブジェクトがアクセスできるオブジェクトのリストを保持します。
アクセス要求が行われると、DAC システムは ACL または機能テーブルをチェックして、要求者がリソースへのアクセスを許可されているかどうかを判断します。 ACL または機能テーブルがアクセスを許可する場合、リクエストは承認されます。それ以外の場合は拒否されます。
随意アクセス制御の主な機能
- 所有者が決定するアクセス: データまたはリソースの所有者によって、誰がアクセスできるかが決まります。
- アクセス制御リストACL は、各ユーザーまたはユーザー グループが持つアクセスの種類を決定します。
- 能力表: これらのテーブルには、ユーザーまたはユーザー グループがアクセスできるリソースがリストされます。
- 柔軟性: 所有者は必要に応じて権限を簡単に変更できます。
- 推移的アクセス制御: ユーザーがリソースにアクセスできる場合、別のユーザーにアクセス権を付与できる可能性があります。
任意アクセス制御の種類
DAC はさまざまな方法で実装できますが、最も一般的な 2 つのアプローチは ACL と機能リストです。
| アプローチ | 説明 |
|---|---|
| アクセス制御リスト (ACL) | ACL はオブジェクト (ファイルなど) に関連付けられており、どのユーザーがオブジェクトにアクセスできるか、またそのオブジェクトに対してどのような操作を実行できるかを指定します。 |
| 機能リスト | 機能リストはユーザーに関連付けられており、ユーザーがアクセスできるオブジェクトと、それらのオブジェクトに対して実行できる操作を指定します。 |
任意アクセス制御の応用、課題、解決策
DAC は、Windows や UNIX などのほとんどのオペレーティング システムおよびファイル システムで広く使用されており、ユーザーは選択した個人またはグループとファイルやリソースを共有できます。
DAC の大きな課題の 1 つは、「混乱した代理人問題」です。これは、プログラムが意図せずにアクセス権を漏らしてしまう問題です。たとえば、ユーザーは、より多くのアクセス権を持つプログラムを騙して、自分に代わってアクションを実行させる可能性があります。この問題は、慎重なプログラミングとシステム権限の適切な使用によって軽減できます。
もう 1 つの問題は、リソースにアクセスできるユーザーが他のユーザーにそのアクセスを許可する可能性があるため、アクセス権が急速かつ制御されずに伝播する可能性があることです。これは、適切な教育とトレーニングだけでなく、そのような伝播を制限するシステムレベルの制御によって対処できます。
任意アクセス制御と類似用語の比較
| 学期 | 説明 |
|---|---|
| 随意アクセス制御 (DAC) | 所有者は自身のデータとリソースを完全に制御できます。 |
| 強制アクセス制御 (MAC) | 集中ポリシーは分類レベルに基づいてアクセスを制限します。 |
| 役割ベースのアクセス制御 (RBAC) | アクセスは、組織内でのユーザーの役割によって決まります。 |
クラウドベースのプラットフォームやモノのインターネット (IoT) デバイスの人気の高まりとともに、DAC の将来は進化していくと思われます。権限をより細かく制御できるきめ細かなアクセス制御が、より一般的になることが予想されます。さらに、機械学習や AI 技術が進歩するにつれ、変化するアクセス ニーズを学習して適応できる DAC システムが登場するかもしれません。
プロキシサーバーと任意のアクセス制御
プロキシ サーバーは、DAC 原則を使用して Web リソースへのアクセスを制御できます。たとえば、企業は、特定の Web サイトまたは Web ベースのサービスへのアクセスを許可する前に、ユーザーの ID と役割を確認するプロキシ サーバーを設定することができます。これにより、承認された担当者だけが特定のオンライン リソースにアクセスできるようになるため、セキュリティがさらに強化されます。
関連リンク
- コンピュータセキュリティ: 芸術と科学 Matt Bishop 著: アクセス制御を含む、コンピュータ セキュリティに関する包括的なリソース。
- 随意アクセス制御の理解と使用: DAC について詳しく説明した CSO による記事。
- NIST 特別出版物 800-12: 米国国立標準技術研究所のコンピュータ セキュリティ ガイド。DAC に関する説明も含まれています。
- アクセス制御モデル: O'Reilly Media によるさまざまなアクセス制御モデルの詳細なガイド。
- DAC、MAC、RBAC: DAC、MAC、RBAC モデルを比較した科学論文。
