Entry № 729
強制アクセス制御(MAC)
強制アクセス制御(MAC) とは何ですか?
強制アクセス制御(MAC)リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。
強制アクセス制御は非任意モデルであり、OS あるいはカーネルがユーザーには上書きできないシステム全体のポリシーを強制します。各主体(プロセス)・客体(ファイル、ネットワークポート)には機密区分(極秘・秘・部内秘など)やカテゴリのセキュリティラベルが付与され、ラベルがポリシー(例:Bell-LaPadula の「上方向の読み禁止・下方向の書き禁止」)を満たす場合にのみアクセスが許可されます。「強制」と呼ばれるのは、ファイル所有者でさえ権限を緩められないためです。SELinux・AppArmor・Smack・FreeBSD MAC などで実装され、もともと軍用や高保証システムで生まれました。代償は柔軟性の低さ・ラベリングの複雑さ・運用習得の困難さです。
● 例
- 01
SELinux が root で動く Web サーバープロセスから /etc/shadow の読み取りを遮断する。
- 02
機密システムで Secret ユーザーが Unclassified ディレクトリへ書き込めない。
● よくある質問
強制アクセス制御(MAC) とは何ですか?
リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。 サイバーセキュリティの ID とアクセス カテゴリに属します。
強制アクセス制御(MAC) とはどういう意味ですか?
リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。
強制アクセス制御(MAC) からどのように防御しますか?
強制アクセス制御(MAC) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
強制アクセス制御(MAC) の別名は何ですか?
一般的な別名: MAC, 非任意アクセス制御。