(・u・)

コンピュータセキュリティのアクセス制御についてメモ

識別(Identification)

  • 「自分が誰であるか」証明する
  • 認証の要素である
  • ユーザー自身が誰であるかをシステムに伝える方法
  • 識別の方針
    • ユーザーを完全に個人として特定する
    • ユーザーの地位や組織における重要性などで区別すべきでない(社長やCEOを特別扱いしない)
    • 共有アカウントを使うのを避ける(root、admin、sysadminなど)

認証(Authentication)

  • 識別を用いて本人との同一性を確認する
  • ユーザーが主張する識別情報を照合する(例えば、入力されたパスワードとシステムに記憶されているパスワードとを比較する)

認可(Authorization)

  • 認証後に付与されるアクセス許可(アクセス制限)
  • システム上のユーザーの権利と許可情報(パーミッション)を決定する
  • ユーザー(利用者やプロセス)が認証されると、認可機構によってそのユーザーがシステム上でできることが決定される

認証の5要素

記憶(Something you know)

パスワード パスフレーズ PIN

所持(Something you have)

ICカード スマートカード 物理トーク

生体(Something you are)

指紋 虹彩 顔 静脈パターン

行動(Something you do)

ピクチャーパスワード 場所(Somewhere you are) IPアドレス MACアドレス

識別(認証要素)を組み合わせた認証

より安全な認証は複数の異なる識別を組み合わせて行われる (パスワードとPINは同じ種類の識別なので2要素認証にはならない)

二段階認証

認証が2段階で行われる