「強制アクセス制御」の版間の差分
削除された内容 追加された内容
m Mandatory access control を 強制アクセス制御 へ移動 |
編集の要約なし |
||
1行目: | 1行目: | ||
'''強制アクセス制御'''(きょうせいアクセス制御、MAC:Mandatory access control)は、コンピュータのプロセス、ファイル、システムデバイスを誤用、不正な利用から守る技術である。 |
|||
最も重要な特徴は、すべての権限を備える特権ユーザではなく、用途に応じた特権ユーザを設定することにより、権限を分割化することである。[[任意アクセス制御]]においては、すべての権限を備えた特権ユーザを設けているため、特権ユーザ権限での誤用、不正アクセスに弱い。 |
|||
この技術は、ユーザやグループの概念やファイルシステム権限の[[Discretionary access control|DAC]]を拡張するものであり、それにとってかわる物である。 |
|||
== 関連項目 == |
|||
最も重要な特徴は、ユーザが自身が作ったリソースに完璧にアクセスできるわけではないということである。システムセキュリティポリシ(管理者によってセットされるのだが)が許可されるべきアクセスを全て決定づけるのであり、ユーザは、管理者が指定したものよりも限定的なアクセスを自分自身のリソースに認めることは許されていないのである。 |
|||
*[[SELinux]] |
|||
[[de:Mandatory Access Control]] |
|||
DACシステムにおいては、ユーザに認められたリソースへのアクセスはユーザに全て委ねられているので、事故や悪意によって、権限のないユーザにアクセスを許可することになるのである。 |
|||
[[en:Mandatory Access Control]] |
|||
[[ru:Принудител ьный контроль доступа]] |
|||
目標は、全てのセキュリティに関連したラベルの評価に必要な構造を定義し、オペレーションズコンテキスト及び同様のデータのレベルに基づいて判断をすることである。 |
|||
Flask構造はMACとともに、マルチレベルセキュリティシステムの技術を可能にするものである。 |
|||
そのようなフレームワークは、特権ユーザあるいはプロセスが、あらゆるレベルにおいて、特別な秘密区分又は認可レベルにおける、情報、プロセス、デバイスにアクセスすることを予防するのである。 |
|||
これは、既知及び未知のユーザ及びプロセス(未知のプログラムはデバイスやファイルアクセスがモニタされかつ(又は)制御されるべき信頼されていないアプリケーションということになるだろうが)に、制限メカニズムを提供する。 |
|||
明白なことだが、コンピュータの内部において、データと命令を分離するために働く仕組みには、 |
|||
抜け道があってはならない。 |
|||
又この仕組みは、規則の有用性や効果のほどを決定するのに評価可能であり、常時発動され、不正書き換えできてはならない。 |