【IAM】 DAC その1 ~ グループベース RBAC の破たん?

DAC と書くと「 discretionary access control(随意アクセス制御)」を思い浮かべてしまう方も多いと思いますが、ここでは「Dynamic Access Control(ダイナミックアクセス制御)」を指しています。 ※ちなみに RBAC とは Role-Based Access Control の略ですが、詳しくは本文中で。 Windows Server 2012 から実装された新しい機能「ダイナミックアクセス制御」。みなさんご利用でしょうか?以前以下の投稿をしましたが、あまり見られていないですね(笑)。なんか、あのころの AD FS を見るようだなぁと。。。 【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書 http://blogs.technet.com/b/junichia/archive/2012/12/17/3541225.aspx そこで、なぜ DAC なるものが必要なのか?という点についてまとめておきたいと思います。 ACL ベースのアクセス制御 「アクセス制御」という言葉があります。アクセス制御については説明するまでもありませんが、「ユーザーがアクセスしてもよいかどうかを評価するプロセス」のことです。 ご存知の通り、従来マイクロソフトが採用しているアクセス制御方式は、「ACL 方式」です。 ACL とは Access Control List の略で、中には 「ACE(Access Control Entory)」と呼ばれるエントリーが格納されています。ACE にはユーザーやグループを識別するための SID(Security ID)とアクセス権が格納されており、これによってユーザーのアクセス権が識別されます。ACL に複数のACEが格納されている場合、これらは基本的に「OR」で評価されます(ただし、同じSIDが複数のACEに格納されている場合には、その中の一番厳しいアクセス権が採用されるという大原則があります)。 ACL は「静的」です。つまり、誰かが手で設定しなければ変わることはありません。つまり一度アクセス権が与えられたら、ACL から ACE を削除するか、ACE を変更するまで永遠に現在のアクセス権が与えられ続けます。そこで、組織間で人材が移動してもリソース側に直接手を入れる必要が無いようにするため、マイクロソフトでは「グループにアクセス権を与える」方法を推奨しています。グループにアクセス権を与えることで、アクセス権の制御を「グループのメンバーシップの変更」で置き換えようという考え方です。こうすれば、リソース側のアクセス権を直接操作する必要はなくなります。こうしたアクセス権管理の方式を AGDLP と呼んでいます。 A :Account G…