セキュリティと Apache：初級必読本 2

強制/任意アクセス制御

アクセス制御には 2 つの基本的な方法がある。ユーザーが名乗った名前が正しいかどうかを検証すること、 そして、ユーザーが本当 は誰なのかを検証することだ。基本的な 3 つの検証法では、それぞれ次のこ とを調べる。

1. ユーザーが持っているもの
2. ユーザーが知っていること、または
3. ユーザーが誰なのか

あるいは、これらを組み合わせることもある。コンピュータと関係ない一般的な話に置き換えると、「ユー ザーが持っているもの」とは、「ドアに付いている南京錠の鍵」だ。正しい鍵を持っていれば中に入ることがで きる。「ユーザーが知っていること」とは、銀行口座を本人しか使用できないようにする「パスワード」だ。誰 かにパスワードを知られない限り悪用されることはない。「ユーザーが誰なのか」というのは、DNA パ ターンが証拠として認められるように、犯罪操作で重要な役割を果している。

高度なセキュリティが求められるシステムでは、これらを組み合わせて使用するのが普通だ。たとえば、銀 行の ATM マシンは最初の 2 つの方法を組み合わせている。お金を引き出すには、ATM カードを手に入れる 必要があり、カード (またはアカウント) に対応した暗証番号も知る必要がある。

ところで、タイトルにある任意と強制 とは一体どういう意味か? 簡単に言えば、任意アクセス制御 (DAC) では、ユーザーが自由に扱える証明情報の正当性を調べ、強制アクセ ス制御 (MAC) では、ユーザーが自由に扱えないものを調べる。 たとえば、誰か他の人からユーザー名とパスワードを貰えば、ユーザーはそれでシステムにアクセスできるが、 このとき、ユーザー名とパスワードはあなたの裁量下にあり、システムには、アクセスしたのが実際の所有者で はないということが分からない。このようなシステムを任意アクセス制御システムという。 一方、DNA 情報は変更することができない。ユーザーの DNA パターンにのみアクセスを許可するシステ ムがあれば、そのユーザー以外の誰もアクセスできないし、ユーザーが他人の振りをすることもできない。この ようなシステムを強制 (非任意ともいう) アクセス制御システムという。

Web の分野、特に Apache では、任意制御はユーザー名とパスワードが基になっており、強制制御はアクセ スを要求するクライアントの IP アドレスのような情報が基になっている。

任意制御と非任意制御とをはっきり区別するには、アクセス失敗時の処理について考えてみるといい。任意 制御でアクセスに失敗した場合は (たとえばパスワードの打ち間違いなど)、再度試みるチャンスがある。一 方、強制制御でのアクセスに失敗すると、「許可されません」ではなく「禁止」エラーとなる。この場合、もう 一度試みるには最初からやり直して、はじめて訪れたかのようにページへのアクセスを再度要求する以外にな い。しかし、再度試してみたとしても、サーバーの設定が変更されない限り同じ結果になる。始めから締め出さ れているのだ。

認証と承認
認証とは、証明情報が正しいかどうかを確認するプロセスだ。つまり、ユーザー名はあらかじめシステ ムのデータベースにあり、入力されたパスワードがユーザー名に対して正しいかどうかが調べられる。 一方、承認とは、正当なクライアントが特定のリソースへのアクセスを許可されているかどうかを確認 するプロセスだ。たとえば、ボブは正しいユーザー名とパスワードを持っているが、ジェーンの所有するファイ ルにはアクセスできない。なぜなら、ジェーンはボブをアクセス承認リストに入れていないからだ。

Apache では、ほとんどすべてのセキュリティ関連モジュールで両方のプロセスが行われる。各モジュールを 区別する主な特徴は認証の方式だ。ほとんどのモジュールでは、有効な証明情報を特定のフォーマットで保存し ておく必要がある。たとえば mod_auth モジュールでは、ユーザー名とパスワード情報を通常の テキストファイルに収め、mod_auth_dbm では DBM データベースに収める。承認の方式について は、これらのモジュールでは本質的に同じ方法が用いられている。

セキュリティ モジュールには AuthUserFile や AuthDBMGroupFile のような指 示子を通して、使用する認証データベースの情報が渡される。保護されるリソースは、設定ファイル内で指示子 を使って指定する。

この例では、保護されるリソースは /home/johnson/public_html ディレクトリおよびその下 層にある 「foo.bar という名前のすぺてのファイル」だ。また、foo.bar へのア クセスが承認されている証明情報を識別する方法が指示子によって設定されている。 この場合、/home/johnson/foo.htpasswd に記載されている有効な証明情報をもつユーザーは保護 されたリソースにアクセスできる。

次は 保護領域：アクセス制御される領域 >>

• オバマ大統領も絶賛。メイヨークリニックのソーシャルメディアポリシー（Webテクノロジー 11月24日 13:00）
  医師がブログを開設したり、ホームページ上で Q＆A 集を公開するといった事例は、珍しくない。しかし、一般生活者や医療関係者が自由に投稿できるコミュニティを、特定の病院が運営しているケースはわずかだ。
• 【ブログトレンドウォッチ】寒い時は、冷たい物が売れる？（Webマーケティング 11月24日 12:50）
  気温が下がり温かい食べ物が恋しい日が増えてきた。こんな時、人々はどのような物が食べたくなるのだろう？　気温の変化を感じ始める9月から「寒い」と「食べたい」が同時に書き込まれているブログを抽出し、そこで語られている具体的な食べ物を上位5つまで抜粋した。
• OSSTech、OpenLDAP2.4 を Linux/Solaris/AIX 向けにパッケージ（LinuxToday 11月24日 12:40）
  冗長化された複数のディレクトリサーバーが相互に内容を複製し合う仕組み、マルチマスター対応の最新 OpenLDAP を、Linux/Solaris/AIX 向けに製品パッケージ化した。
• 【韓国】ドラゴンボールオンラインの最大の長所は「原作の正統継承作」（Webビジネス 11月24日 12:10）
  CJ インターネットは、20日東京で実施されたゲーム説明会で「ドラゴンボールオンライン」が原作者である鳥山明氏監修のもと、原作の内容を最大限反映する形で作られている点を強調した。
• 2009年のパソコン出荷台数、前年比でやや増加との予測（Webマーケティング 11月24日 11:40）
  Gartner が2009年のパソコン出荷台数予測を示した。予測はこれまでよりも楽観的な数字だが、価格下落が影を落としている。