セキュリティと Apache：初級必読本 2

強制/任意アクセス制御

アクセス制御には 2 つの基本的な方法がある。ユーザーが名乗った名前が正しいかどうかを検証すること、 そして、ユーザーが本当 は誰なのかを検証することだ。基本的な 3 つの検証法では、それぞれ次のこ とを調べる。

1. ユーザーが持っているもの
2. ユーザーが知っていること、または
3. ユーザーが誰なのか

あるいは、これらを組み合わせることもある。コンピュータと関係ない一般的な話に置き換えると、「ユー ザーが持っているもの」とは、「ドアに付いている南京錠の鍵」だ。正しい鍵を持っていれば中に入ることがで きる。「ユーザーが知っていること」とは、銀行口座を本人しか使用できないようにする「パスワード」だ。誰 かにパスワードを知られない限り悪用されることはない。「ユーザーが誰なのか」というのは、DNA パ ターンが証拠として認められるように、犯罪操作で重要な役割を果している。

高度なセキュリティが求められるシステムでは、これらを組み合わせて使用するのが普通だ。たとえば、銀 行の ATM マシンは最初の 2 つの方法を組み合わせている。お金を引き出すには、ATM カードを手に入れる 必要があり、カード (またはアカウント) に対応した暗証番号も知る必要がある。

ところで、タイトルにある任意と強制 とは一体どういう意味か? 簡単に言えば、任意アクセス制御 (DAC) では、ユーザーが自由に扱える証明情報の正当性を調べ、強制アクセ ス制御 (MAC) では、ユーザーが自由に扱えないものを調べる。 たとえば、誰か他の人からユーザー名とパスワードを貰えば、ユーザーはそれでシステムにアクセスできるが、 このとき、ユーザー名とパスワードはあなたの裁量下にあり、システムには、アクセスしたのが実際の所有者で はないということが分からない。このようなシステムを任意アクセス制御システムという。 一方、DNA 情報は変更することができない。ユーザーの DNA パターンにのみアクセスを許可するシステ ムがあれば、そのユーザー以外の誰もアクセスできないし、ユーザーが他人の振りをすることもできない。この ようなシステムを強制 (非任意ともいう) アクセス制御システムという。

Web の分野、特に Apache では、任意制御はユーザー名とパスワードが基になっており、強制制御はアクセ スを要求するクライアントの IP アドレスのような情報が基になっている。

任意制御と非任意制御とをはっきり区別するには、アクセス失敗時の処理について考えてみるといい。任意 制御でアクセスに失敗した場合は (たとえばパスワードの打ち間違いなど)、再度試みるチャンスがある。一 方、強制制御でのアクセスに失敗すると、「許可されません」ではなく「禁止」エラーとなる。この場合、もう 一度試みるには最初からやり直して、はじめて訪れたかのようにページへのアクセスを再度要求する以外にな い。しかし、再度試してみたとしても、サーバーの設定が変更されない限り同じ結果になる。始めから締め出さ れているのだ。

認証と承認
認証とは、証明情報が正しいかどうかを確認するプロセスだ。つまり、ユーザー名はあらかじめシステ ムのデータベースにあり、入力されたパスワードがユーザー名に対して正しいかどうかが調べられる。 一方、承認とは、正当なクライアントが特定のリソースへのアクセスを許可されているかどうかを確認 するプロセスだ。たとえば、ボブは正しいユーザー名とパスワードを持っているが、ジェーンの所有するファイ ルにはアクセスできない。なぜなら、ジェーンはボブをアクセス承認リストに入れていないからだ。

Apache では、ほとんどすべてのセキュリティ関連モジュールで両方のプロセスが行われる。各モジュールを 区別する主な特徴は認証の方式だ。ほとんどのモジュールでは、有効な証明情報を特定のフォーマットで保存し ておく必要がある。たとえば mod_auth モジュールでは、ユーザー名とパスワード情報を通常の テキストファイルに収め、mod_auth_dbm では DBM データベースに収める。承認の方式について は、これらのモジュールでは本質的に同じ方法が用いられている。

セキュリティ モジュールには AuthUserFile や AuthDBMGroupFile のような指 示子を通して、使用する認証データベースの情報が渡される。保護されるリソースは、設定ファイル内で指示子 を使って指定する。

この例では、保護されるリソースは /home/johnson/public_html ディレクトリおよびその下 層にある 「foo.bar という名前のすぺてのファイル」だ。また、foo.bar へのア クセスが承認されている証明情報を識別する方法が指示子によって設定されている。 この場合、/home/johnson/foo.htpasswd に記載されている有効な証明情報をもつユーザーは保護 されたリソースにアクセスできる。

次は 保護領域：アクセス制御される領域 >>

• 新聞広告が動く！--11日の読売新聞朝刊に、AR を応用したドコモなどの広告 08:30
• 次のフライトでお好みの座席が空いたら教えてくれる「Expert Flyer」 06:00
• 【Android Dev 101】4分で作る Android アプリ「Hello World」（英語版ビデオによる解説） 06:00
• 4ヶ月連続 MNP 転入数首位の au、人気ブランドを揃えたラインナップ拡充が功を奏す 2/10
• 「ジブリみて ツイッターおちてる 『バルス』コワッ」…オタク川柳大賞、最終選考作品を発表--一般投票も開始 2/10
>>その他の新着ニュース・コラム

• アジアパシフィックにおけるソーシャルメディア・トレンド〜グローバルな視点、ローカル市場での現実〜 (ネットレイティングス株式会社)
• 【プレジデント・gooリサーチ共同】時間の使い方に関するアンケート (NTTレゾナント株式会社)
• 情報共有と業務効率化を実現するためのお手軽グループウェア (リスモン・ビジネス・ポータル株式会社)
• Yahoo!検索プラグイン開発マニュアル (Yahoo! JAPAN)
• 「暗号の2010年問題」対応ガイド〜サーバ管理者のためのチェックリスト10項目〜 (日本ベリサイン株式会社)