セキュリティと Apache：初級必読本 2

強制/任意アクセス制御

アクセス制御には 2 つの基本的な方法がある。ユーザーが名乗った名前が正しいかどうかを検証すること、 そして、ユーザーが本当 は誰なのかを検証することだ。基本的な 3 つの検証法では、それぞれ次のこ とを調べる。

1. ユーザーが持っているもの
2. ユーザーが知っていること、または
3. ユーザーが誰なのか

あるいは、これらを組み合わせることもある。コンピュータと関係ない一般的な話に置き換えると、「ユー ザーが持っているもの」とは、「ドアに付いている南京錠の鍵」だ。正しい鍵を持っていれば中に入ることがで きる。「ユーザーが知っていること」とは、銀行口座を本人しか使用できないようにする「パスワード」だ。誰 かにパスワードを知られない限り悪用されることはない。「ユーザーが誰なのか」というのは、DNA パ ターンが証拠として認められるように、犯罪操作で重要な役割を果している。

高度なセキュリティが求められるシステムでは、これらを組み合わせて使用するのが普通だ。たとえば、銀 行の ATM マシンは最初の 2 つの方法を組み合わせている。お金を引き出すには、ATM カードを手に入れる 必要があり、カード (またはアカウント) に対応した暗証番号も知る必要がある。

ところで、タイトルにある任意と強制 とは一体どういう意味か? 簡単に言えば、任意アクセス制御 (DAC) では、ユーザーが自由に扱える証明情報の正当性を調べ、強制アクセ ス制御 (MAC) では、ユーザーが自由に扱えないものを調べる。 たとえば、誰か他の人からユーザー名とパスワードを貰えば、ユーザーはそれでシステムにアクセスできるが、 このとき、ユーザー名とパスワードはあなたの裁量下にあり、システムには、アクセスしたのが実際の所有者で はないということが分からない。このようなシステムを任意アクセス制御システムという。 一方、DNA 情報は変更することができない。ユーザーの DNA パターンにのみアクセスを許可するシステ ムがあれば、そのユーザー以外の誰もアクセスできないし、ユーザーが他人の振りをすることもできない。この ようなシステムを強制 (非任意ともいう) アクセス制御システムという。

Web の分野、特に Apache では、任意制御はユーザー名とパスワードが基になっており、強制制御はアクセ スを要求するクライアントの IP アドレスのような情報が基になっている。

任意制御と非任意制御とをはっきり区別するには、アクセス失敗時の処理について考えてみるといい。任意 制御でアクセスに失敗した場合は (たとえばパスワードの打ち間違いなど)、再度試みるチャンスがある。一 方、強制制御でのアクセスに失敗すると、「許可されません」ではなく「禁止」エラーとなる。この場合、もう 一度試みるには最初からやり直して、はじめて訪れたかのようにページへのアクセスを再度要求する以外にな い。しかし、再度試してみたとしても、サーバーの設定が変更されない限り同じ結果になる。始めから締め出さ れているのだ。

認証と承認
認証とは、証明情報が正しいかどうかを確認するプロセスだ。つまり、ユーザー名はあらかじめシステ ムのデータベースにあり、入力されたパスワードがユーザー名に対して正しいかどうかが調べられる。 一方、承認とは、正当なクライアントが特定のリソースへのアクセスを許可されているかどうかを確認 するプロセスだ。たとえば、ボブは正しいユーザー名とパスワードを持っているが、ジェーンの所有するファイ ルにはアクセスできない。なぜなら、ジェーンはボブをアクセス承認リストに入れていないからだ。

Apache では、ほとんどすべてのセキュリティ関連モジュールで両方のプロセスが行われる。各モジュールを 区別する主な特徴は認証の方式だ。ほとんどのモジュールでは、有効な証明情報を特定のフォーマットで保存し ておく必要がある。たとえば mod_auth モジュールでは、ユーザー名とパスワード情報を通常の テキストファイルに収め、mod_auth_dbm では DBM データベースに収める。承認の方式について は、これらのモジュールでは本質的に同じ方法が用いられている。

セキュリティ モジュールには AuthUserFile や AuthDBMGroupFile のような指 示子を通して、使用する認証データベースの情報が渡される。保護されるリソースは、設定ファイル内で指示子 を使って指定する。

この例では、保護されるリソースは /home/johnson/public_html ディレクトリおよびその下 層にある 「foo.bar という名前のすぺてのファイル」だ。また、foo.bar へのア クセスが承認されている証明情報を識別する方法が指示子によって設定されている。 この場合、/home/johnson/foo.htpasswd に記載されている有効な証明情報をもつユーザーは保護 されたリソースにアクセスできる。

次は 保護領域：アクセス制御される領域 >>

• 【今週の Web ミミズク】Frame Zero、構造化データ、太陽光発電（Webビジネス 11月7日 09:00）
  世界中の構造化データを集めて計算するという「Wolfram|Alpha」。API も公開し、iPhone アプリも販売を開始した。ポケッタブルな百科全書だ。49.99ドルと少々お値段は高い。
• オバマ大統領の着ている服で天気がわかる「Obama-Weather」（Webビジネス 11月7日 09:00）
  Obama-Weather はいわゆる天気予報サイトであるが、そのわかりやすさが特徴である。
• SAP、Apache コミュニティに参画（LinuxToday 11月6日 17:20）
  SAP は、Maven、VXQuery、Tomcat、OpenEJB、ActiveMQ などのプロジェクトにさらに貢献、今後発表する SAP NetWeaver Application Server コンポーネントに活用する意向。
• Amazon.co.jp が PB「Amazon ベーシック」製品を発売〜簡単開封パッケージも導入へ（E-コマース 11月6日 16:50）
  オンラインストアの「Amazon.co.jp」は2009年11月5日、Amazon が世界で展開するプライベートブランド「Amazon ベーシック」製品の提供を開始した。
• 米国の太陽光発電市場はハード、ソフトの両面で拡大の兆し――シード・プランニング調査（Webファイナンス 11月6日 16:40）
  同社の調査レポート「太陽光発電ベンチャー企業動向」によると、米国では、太陽電池製造技術にナノテクノロジーを利用した CIGS 太陽電池や有機薄膜太陽電池を研究開発するベンチャー企業が多数登場しているという。