Access control

何を覚えるか
 Access Controlのイメージをつかむ
 GroupとRoleとは何か
 ACLとCapabilitiesの概要と長所と短所
 DACとMACとは何か

Access Controlの定義
 どのPrincipalが
システム内のどのリソースのアクセスを持てるかを制御する
どのファイルの読み書きや実行を制御する
ほかのprincipalとデータをどのように共有するかを制御する

アクセス制御を適当にやると
 ほかの人の履修状況を見れてしまう
 セキュリティ工学の単位を不可にできる
 Androidのアプリインストール時に安易に許可してしまうと
個人情報が悪用されるかもしれない

アクセス制御の誤りによる事件
• 原因
サーバのアクセス制御ミス
• 被害
学生情報が閲覧可能な状態

アクセス制御の誤りによる事件
• 原因
Webアプリケーションのシ
ステムの脆弱性
• 被害
カード情報の流出

Access controlのイメージ
 あるファイルに関するアクセス制限
 行列で管理をする
 行をuser,列をプログラムとする
 rは読み込み,wは書き込み,xは実行
特定の方法以外で書き込みされたくないことも
あるファイルに対するアクセス制御

特定のファイルに対するAccess control
 特定のプログラムを行に追加
そこからのみwriteを可能にする
 (user,program,file）の3要素で構成
Access Triple簿記ファイルに対するアクセス制御
管理者にとって負担になる
User 5000(人) × プログラム 300 = 1500000

アクセス制御の手間の面倒を解決するために
 GroupやRoleごとにまとめて管理する
一人一人にアクセス権を割り当てたり管理する手間を減らす
 ACLやCapabilityを使って行や列数を減らす
アクセス制御の要素を減らす

Groups & Roles
Group Role
Principal の集合
例 △大学
研究室の学生
○○会社の△部
アクセス制御の集合
例学生の単位表
roleA : 単位だけ見る
roleB : 単位の書き換えもOK

GroupとRoleを扱う際の注意
 設定する際に区別に注意する
例銀行
Group:
manager ,deputy manager, branch accountant, assistant accountant
Role：10ｍドル超える金銭の移動は二人のスタッフが承認する
一人はmanagerクラス以上,もう一人はassistant 以上

ACLとCapabilityのイメージ
ACLはファイル,Capabilityはユーザ単位で管理

Access Control List
ACL：Access control list
 長所
・実装が簡単
 短所
・アクセス権を委譲するようなシステムには向かない
・ランタイムセキュリティチェックが非効率
・ユーザが増えるほど管理が面倒
ファイル単位の管理

Capabilities
 長所
アクセス権限の委譲が簡単
ランタイムセキュリティチェックが容易
 短所
どのユーザがアクセス権を持っているか探すのが
手間
ユーザ単位でのアクセス管理

ランタイムセキュリティチェック
ランタイム：プログラムの実行時
ACL Capability
fileAのACL
fileBのACL
ファイルごとにACLを確認
Aliceの
Capability
ファイルごとに確認せずにすむ

Capabilityによる権利移譲
俺のアクセス権をAliceに渡すよ
一時から四時まで有効期限
Bob
Bob Alice
ファイル４読ませて
File４
移譲
Bobの
アクセス権
署名
例 Kerberosのタイムスタンプや
署名によるチケット

ACLの検証と環境の変化
ACLがポリシーを満たしているか
チェックするプログラムを用意する
チェックプログラム
を時代に合わせないと
脆弱性ができる
いちいちACLの
チェックが面倒
コンテナのACLの確認ミス
による社内データの漏洩

DAC
 DAC discretionary access control
任意アクセス制御
リソースの所有者にアクセス制御を任せる
(リソース：ファイルなど)

MAC
 MAC Mandatory Access control
強制アクセス制御
システムの管理者がアクセス制御する
(リソースの所有者関係なく)

Access controlで使われる用語まとめ
 ACL : ファイル単位でアクセス権限
 Capability : ユーザ単位でのアクセス権限
 Group： principalの集合
 Role ：アクセス制御の集合
 DAC : リソースの所有者がファイルに対するアクセス制御を行う
 MAC : 管理者がファイルに対するアクセス制御を行う

Unix operating system security
-rw-r-----
Alice Accounts
• 初めの - はディレクトリ(d)
かファイル(-)かを区別する
• rwxで権限を表現する
(rw-ならrとwが可能)
• owner,group,それ以外の順に権
限を記述
• 管理者の名前,グループを記述
File3のアクセス制御リスト

root権限
 root権限を持ってればアクセス制御は関係ない
 DAC機能を持ったシステムの管理者が使う
 難点
・管理者がファイルを改ざんしていない
証拠を負うのが面倒
・攻撃者が管理者になって証拠を消すため
信じてくれ
証拠ないやん

管理者が冤罪を逃れるために
ログを別の場所に保管する
昔今
ログ
Locked room
別のマシンにバックアップを取る
第三者機関を利用する

UnixのAccess tripleとsuid
suid : the set-user-id
 実行ファイルの所有者の権限で実行する属性
 ファイルの所有者がsuidの属性を付与する
 Passwdコマンドなど特定のプログラムに
よってファイルを読み書きしたい場合に使う
(一時的にroot権限)
 Access triple(user,program,file)
‘account-package’
file2
-rws-r-----
Alice Accounts

History from 1960
1960 1970
DACの実装タイムシェアリング
システムの実装
これがアクセス制御の土台となる

Could we do away with ACLs entirely then
1970 1980
IBM AS/400 series
systems
Plessy System250
Capabilityを実装した
商用製品
暗号化に
公開鍵署名の採用
1990

History from DAC to MAC
1970
辛い
DAC限界 MLSの実装
multilevel secure system
MACの誕生
管理に限界
昔はコンピュータ
ルームでやってた
シークレットタグのファイルは
シークレットクリアランスを
持った者のみが
閲覧できるようにしよう

History from tamper-resistance to DRM
1980 1990
音楽やビデオを扱うのに十分な性能に
データで共有できてしまう
今までのビジネスモデルが成り立たない
DRM
digital rights management
耐タンパ性が
重要視される
外部から改竄や読み取りを防ぐ
暗号化を備えたICチップなど

DRM
 Digital Rights Management
デジタル著作権管理
・コピー自体をさせないコピー制御
・視聴自体をさせないアクセス制御
例.
Ultra HD Blu-ray／BD／DVD
CSSやAACSなどによる暗号化

History from TPM
2000
OSのベンダーが
MACを製品に組み込み始める
暗号化機能が
PCのプラットフォームに組み
込まれる
TPM
the Trusted Platform
Module
2006
Trust bootが
Windows Vistaに
搭載
Trust bootやハードディスク
の暗号化機能をサポート

Rootkit
 rootkit
・OSと同じ特権を持って実行される
マルウェア
・OSより先に起動する
・パスワードやキー入力の記録、機
密ファイルの転送、暗号化データの
収集など

Secure boot & Trust boot
 セキュアブート,トラストブート
・カーネルのデジタル署名を確認
・ファイルが変更されていた場合
コンポーネントの読み込みを拒否

アクセス制御のレベル
 層によって異なるアクセス制御
アプリケーション：セキュリティポリシー
ミドルウェア：データベース,ブラウザ
OS : ファイル
ハードウェア: プロセッサ,メモリ
アプリケーション
ミドルウェア
OS
ハードウェア

まとめ
 アクセス制御の用語を紹介
Access Triple Group Role ACL Capability MAC DAC
 UnixのOSを例として説明
 アクセス制御の歴史の一部を紹介

Access control

More Related Content

Featured (20)

Access control