アクセス制御方式

任意アクセス制御

DAC (Discretionary Access Control)という。
Windowsでも採用されている方式。ファイルごとに所有者、読取り、書込み、実行の権限を設定出来る。

強制アクセス制御

MAC (Mandatory Access Control)という。
ユーザ、プロセスごとにセキュリティレベルを設定して、それに応じて強制的にアクセスを制御する。
ファイルごとにアクセス権を自由に設定することは出来ない。
Trusted OSで採用される方式。

ロールベースアクセス制御

RBAC (Role-Base Access Control)という。
営業部長、経理部長、取締役など、組織内の部署や役職に対してロールを定義し、それらにアクセス権限を付与する方式。ユーザに対して複数のロールを割当てる。
ロール単位でアクセス権を管理できるため運用を軽減。

HTTP認証

ベーシック認証

昔使われていた認証。 パスワードが秘匿化されず送信されるため、今は殆ど使われなくなった認証。

ダイジェスト認証

一般的に使われている認証。 パスワードを秘匿化して送信する。 次項の認証方式を組み合わせて利用する。

認証方式

認証の3要素

大きく3種類。

記憶

持っている情報で認証。
例) パスワード、暗証番号、PIN

所持

持っている物で認証。
例) ICカード、スマーフォン、秘密鍵

整体

体の特徴で認証。
例) 指紋、顔、虹彩、静脈

固定式パスワード方式

予め登録されたパスワードを入力することににより認証を行う。
古くから一般的に利用されている方式。

ワンタイムパスワード方式

OTP (One Time Password)方式。使い捨てパスワード方式とも呼ばれる。
一時的なパスワードを生成して認証する方式。
以下の方式で実現されている。

チャレンジレスポンス方式

①サーバが「チャレンジ」と呼ばれる乱数文字列をクライアントを送付。
②クライアントではその「チャンレンジ」をパスワード「シード」を組合せてハッシュ化し応答(レスポンス)する。
③サーバ側で同様にハッシュ化し、一致すれば認証OK。

S/Key

チェレンジレスポンス方式の一種。 パスワードを繰り返しハッシュ関数にかけることで生成されるOTPを利用して認証する。 ハッシュ関数にかける回数をシーケンス番号といい、認証する度にシーケンス番号を100, 99 , 98 ・・・ 1 というふうに降順で利用する。これは、一方向性があるハッシュ関数を利用することで、シーケンス番号NのOPTを盗聴されたとしてもシーケンス番号N-1のOPTが予測されにくくなるためである。

トークンを利用した認証

時間同期によるOPT方式。近年多く普及しているのはこの方式。
一定期間ごとに変化するパスワードを生成。
予め登録したPINコードとトークンコードをパスコードとして入力し認証を行う。
トークン(携帯認証装置)には、PCやスマフォにインストールして利用するソフトウェア型と、キーホルダーやUSBメモリなど専用ハードウェアを利用する。

バイオメトリック認証(生体認証)

人間の身体的特徴により認証を行う。指紋、顔、音声、網膜。

FIDO (Fast IDentity Online)

パスワードを使用せず、所持している物で認証(所持認証)や バイオメトリック認証(生体認証)などによる認証。

多要素認証

認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証すること。