アクセス管理はSVOで考えるとわかりやすいかもですね。。。(1)
こんにちは、丸山満彦です。
ちょっと思うところがあって、こんなことを今日は書いてしまいます。
サイバーセキュリティの勉強を始める人向けです。
セキュリティ管理の重要な一つにアクセス管理があります。ゼロトラストネットワークとか、最近流行の言葉でも注目されているかも知れません。セキュリティの基本ですから当然かも知れません。
さて、このアクセス管理ですが、英語の第三文型のSVOで考えるとわかりやすいかも知れません。この3つの組み合わせで考えれば良いのだと思います。
- S : Subject = 行為の主体ですね
- V : Verb = 行為の内容
- O : Object = 行為の対象
つまり、誰(S)が何(O)に何をする(V)かということになりますね。。。それぞれS, V, Oをどう管理するかということになります。
[1] Sの管理
行為をする主体ですから人のことが多いですが、必ずしも人とは限りません(ロボットでも良いです)。その行為者の管理ですが、正当な行為者が行為をすることが重要となりますので、正当な行為者であることをはっきりさせる必要があります。
名乗ってきた行為者が正当であることを確認して、それから行為を行えるようにします。コンピュータの世界では一般的には識別子つまり、IDで行為者は名乗ってきます。IDはコンピュータの世界の名前と思ってください。名前、つまりIDだけではそれが本人かどうかはわかりませんので、一般的には”真正確認 (Authentication) ”が必要です。本人と確認する方法はいくつかあるかも知れません。「あいつ俺知っているから」というような属人的な方法によるわけにはいきませんから、形式的に処理できる方法が必要です。一般的には、
- 本人しか知らないこと
- 本人しか持っていないもの
- 生きた本人の体の一部の情報
を使って確認することになります。事前にお互いに”合言葉”を決めておくということがありますよね。それは「本人しか知らないこと」です。コンピュータの世界ではパスワードとなります。しかし、パスワードをうっかり人に教えてしまって他人にメモをされたりする可能性もありますので注意をしてください。
次は、「本人しか持っていないもの」です。例えば、木片を二つに割ってお互いにそれを持っていて、合わせた時に一致していれば本人だということを確認する方法です。印鑑(実印)や銀行のキャッシュカードたそれに当たりますかね。ただ、「もの」なので盗んで持ってきている可能性もあるし、偽造される可能性もあるので、通常はそれだけで確認することは難しくて、他の手段と組み合わせて(Andで)確認することが多いです(例えば、4桁の秘密の数字、パスワード等との組み合わせ)。
次は、「生きた本人の体の一部の情報」です。例えば指紋、静脈、虹彩、歩き方といったものが現実には使われていますね。確実性は高いのですが、一度盗まれてしまうと交換が効かないのが難しいところかも知れません。ここで「生きた」と書いたのは、単に指紋を写しとった情報だけ認証であるならば、上の「本人しか持っていないもの」になるかも、、、と思ったからです。
さて、この真正確認の方法は確実性のレベルがありそうですね。パスワードによるものか、指紋によるものか?、パスワードも文字の長さや組み合わせなど。。。
それから寿命もあるかも知れません。盗まれる可能性が高いものであれば、一定の期間が過ぎたら盗まれたものとして新たに再発行するということも考えられます。紛失したことが確実であれば再発行は確実に必要ですよね。。。
さて、こうなってくると、最初に本人であることを登録する部分も重要だということに気付きますよね。。。最初になりすまされると、その後ずっと正当になりすまされ続ける(本当の本人がいっても偽者扱いされる)ことになりますから。。。ただ、単なるメールマガジンの登録の時と、原子力発電所の制御システムへのID登録ではその重要性が異なってきますね。この部分の厳密性も色々ありますね。単にメールアドレスだけで良いのか、複数の他の公的機関が発行したもの(住民票原本、運転免許証とか)で確認して登録するということがありますね。
登録者がシステムに入る必要がなくなった場合の対応の仕方も考えないといけませんね。本人の登録を外してしまうのが適切ですね。例えば、退職者のIDは登録から外してしまうとかです。登録の外し方も完全に削除する方法もありますが、フラグを立てて無効にする方法もあります。
また、真正確認のための情報自体が盗まれないようにすることも重要ですね。
こういったことは、ID管理と言われることが多いですね。システムが複数絡み合ってくると、いちいちシステム毎に真正確認をすると大変なので、同じレベルの真正確認で済むのであれば連携して一つのシステムとして真正確認をするということもあります。そのためのシステムもありますね。。。
疲れたので、VとOは次回に。。。
■ 参考
● 佐藤慶浩さんの記事
Comments