Attribute-based access control とは

属性ベースのアクセス制御(ABAC)は、アクセス制御パラダイムを定義します。アクセス制御パラダイムでは、属性を結合するポリシーを使用してユーザーにアクセス権が与えられます。ポリシーは、任意のタイプの属性(ユーザー属性、リソース属性、オブジェクト、環境属性など)を使用できます。このモデルでは、誰が要求、リソース、およびアクションを行っているかについての「IF、THEN」ステートメントがルールに含まれるブール論理をサポートしています。たとえば、リクエスタがマネージャである場合、センシティブなデータへの読み取り/書き込みアクセスが許可されます。
ABACとの主な違いは、複雑なブール・ルール・セットを表現するポリシーのコンセプトに、ロールベースのアクセス制御(RBAC)とは異なり、サブジェクトに割り当てられた特定の特権セットを持つ事前定義されたロールを使用します。さまざまな属性を評価することができます。属性値は、設定値または原子値にすることができます。集合値の属性には、複数の原子値が含まれます。例はロールとプロジェクトです。原子値属性には、1つの原子値のみが含まれます。例はクリアランスと感度です。属性は、静的な値または互いに比較することができるため、リレーションベースのアクセス制御が可能です。
概念自体は長年にわたって存在していましたが、ABACは動的で状況に応じたリスクインテリジェントなアクセス制御をリソースに提供するため、さまざまな情報システムの特定の属性を含むアクセス制御ポリシーを可能にするため、認可を解決し、効率的な規制遵守を達成するために定義されているため、企業は既存のインフラストラクチャに基づいて実装を柔軟に行うことができます。
属性ベースのアクセス制御は、ポリシーベースのアクセス制御(PBAC)またはクレームベースのアクセス制御(CBAC)と呼ばれることがあります。これはMicrosoft特有の用語です。

Organisation-based access control とは

コンピュータセキュリティでは、組織ベースのアクセス制御(OrBAC)は、2003年に最初に提示されたアクセス制御モデルです。アクセス制御の現在のアプローチは、ポリシーが指定するアクセスを制御する3つのエンティティ(サブジェクト、アクション、オブジェクト)被験者は何らかの目的に対して何らかの行動を実現する許可を得ている。
OrBACを使用すると、ポリシー設計者は実装とは独立してセキュリティポリシーを定義できます。この目標を達成するために選択された方法は、抽象レベルの導入です。
 主語は役割に抽象化される。ロールとは、同じセキュリティルールが適用される一連のサブジェクトです。同様に、アクティビティは、同じセキュリティルールが適用される一連のアクションです。ビューは、同じセキュリティルールが適用される一連のオブジェクトです。
各セキュリティポリシーは組織ごとに定義されています。したがって、セキュリティポリシーの仕様は組織によって完全にパラメータ化されているため、異なる組織に関連付けられた複数のセキュリティポリシーを同時に処理することが可能です。モデルは許可に限定されず、禁止や義務を指定する可能性も含まれます。 3つの抽象的なエンティティ(ロール、アクティビティ、ビュー)から抽象的な権限が定義されます。これらの抽象的な特権から、具体的な特権が得られます。
OrBACはコンテキストに敏感なので、ポリシーは動的に表現できます。さらに、OrBACは、階層(組織、役割、アクティビティ、ビュー、コンテキスト)と分離制約の概念を所有しています。 OrBACモデルを使用してセキュリティポリシーを設計し実装するために、MotOrBACツールが開発されました。彼のシミュレーションモードは、セキュリティポリシーをテストするために使用できます。 MotOrBACには競合検出機能があり、競合を見つけて解決するのに役立ちます。

Ambient authority とは

Ambient authorityは、アクセス制御システムの研究で使用される用語です。
コンピュータプログラムのようなサブジェクトは、許可されたアクションを成功させるために、関与するオブジェクトの名前およびそれらに対して実行される操作を指定する必要があるだけであれば、周囲の権限を使用していると言われています。
この定義では、
 「名前」とは、認可情報を含まず、任意のサブジェクトによって潜在的に使用される可能性のあるオブジェクトを参照する方法のことです。アクションが実行される原因となる可能性のある要求が存在する場合、そのアクションは「許可」されます。
権限は、広範に見える環境(多くの場合、必ずしも地球環境である必要はないが)に存在するという意味で「周囲」である。
たとえば、Cプログラムが呼び出しを実行して読み取りアクセス用のファイルを開いたとします。
 open( "filename"、O_RDONLY、0)
目的のファイルはファイルシステム上でその名前で指定されますが、それ自体は認可情報を含まないので、プログラムは周囲の権限を行使しています。
周囲の権限が要求されると、実行プログラムの1つまたは複数のグローバルプロパティに基づいて、そのIDまたはその役割などの権限が付与または拒否されます。そのような場合、アクセス制御の管理は、オブジェクトに関連付けられたアクセス制御リストや役割ベースのアクセス制御メカニズムなどの手段を介して、実行中のプログラムまたはプロセスへの明示的な通信とは別に処理されます。実行中のプログラムは、第1クラスの値として特定の目的のために付与された権限を明示する手段を持っていません。そのため、プログラムが自分の代わりに行動しているときにオブジェクトにアクセスできなければならないが、そのクライアントの一人のために行動するとき(またはあるクライアントを代表して他のクライアントの代わりに)行動するときではなく、 。これは必然的にそのようなプログラムが混乱した代理問題の対象となることにつながる。
「周囲の権限」という用語は、実行されるプログラムが通信されたファーストクラスのオブジェクト参照として、データを受け取ることができるようにパーミッションを受け取る、機能ベースのセキュリティ(オブジェクト機能モデルを含む)と主に対比するために使用されます。これにより、アクセス許可がどこから来たのかを判断でき、混乱した副次的な問題を回避できます。しかし、周囲の権限を回避するだけでなく、能力システムと見なされるための追加の要件があるため、「非周囲の権限システム」は単に「能力システム」の同義語ではない。
周囲の権限は、今日のコンピュータシステムにおけるアクセス制御の支配的な形態です。 UnixおよびWindowsシステムで使用されるアクセス制御のユーザーモデルは、プログラムが起動したユーザーの権限でプログラムが実行されるため、周囲の権限モデルです。これは、実行するプログラムに必然的に、自分のタスクに必要なよりも多くのアクセス権(最低特権の原則を参照)が与えられていることを意味するだけでなく、ソースまたはアクセス権の数と種類を判断できません。周囲の権威のアクセス制御モデルの下で実行されるプログラムは、ほとんどの選択肢がありませんが、権限を指定し、それらを実行しようとすると、最高のことを望んでいます。このプロパティを使用するには、プログラムをエラーなく実行するために、ユーザーまたはロールに過剰なアクセス許可を与える必要があります。

Time-delay combination locks とは

時間遅延組み合わせロックは、最も一般的には、ユーザ定義可能な遅延期間、通常は1時間未満でロックのロック解除を遅らせる遅延タイマを備えたデジタルの電子的な組合せロックである。予め設定された時間(銀行の金庫の場合のように)でロック解除されるタイムロックとは異なり、時間遅延ロックは金庫がロック解除されるたびに作動しますが、オペレータは設定された遅延期間が経過するのを待ってからロックできます開かれる。時間遅延セーフティは、現金取引の高い企業で最も一般的に使用されます。彼らは、Nationwide、HSBC、Barclays、Halifaxなどの銀行で使用されています。

Just-in-time blocking とは

ジャストインタイムブロッキングは、特定の地理的エリア内の人々のインターネットアクセスを一時的に遮断し、情報にアクセスしたり、互いに通信したりすることを防止するための慣習です。
ジャストインタイムブロックの最初の既知の例は、2005年のキルギス議会選挙でOpenNetイニシアチブによって文書化されました。 2006年のベラルーシ大統領選挙、2006年のタジク大統領選挙でも認められ、2006年の大統領選挙と議会選挙でバーレーン、ウガンダ、イエメンで起きたとされている。 2016年、インターネット監視団体Turkey Blocksは、トルコのクルド人である南東部の市長を逮捕する前に、2つの地域別インターネット停止を確認した。これは、抗議行動を防止し、
2013年のイラン大統領選挙までの2週間で、反検閲団体HerdictとASL19はFacebook、Meyar News、Twitter、BBC、YouTubeなどの人気サイトへのアクセスを断続的にイランでブロックした。イランの情報通信大臣、ムハンマド・ハッサン・ナミは、タジニム通信に、この制限は「選挙期間中に国の静穏を保つために取られた安全保障措置」の一部だと述べた。

GateKeeper (access control device) とは

GateKeeperは、近接して歩くことでコンピュータを自動的にロックしたり、歩いてロックを解除したりすることを可能にするワイヤレス近接型アクセス制御および認証デバイスです。 Untethered Labsは、2014年にオリジナルGateKeeperを作成したCEO Siddharth Potbhareが率いるアメリカのコンピュータセキュリティ会社です。GateKeeperは、キーフォブ(デバイス)、ワイヤレス信号を送信するUSB​​ドングル、ユーザーの資格情報を管理するソフトウェアで構成されています。このデバイスはBluetooth Low Energy 4.0を使用して屋内で最大30フィート、屋外で100フィートの近似調整可能な範囲内でGateKeeperを見つけることでキーファインダとしても機能します。

Risk-based authentication とは

認証では、リスクベース認証は非静的認証システムであり、システムにアクセスすることを要求するエージェントのプロファイルを考慮して、そのトランザクションに関連するリスクプロファイルを決定します。リスクプロファイルは、チャレンジの複雑さを判断するために使用されます。リスクプロファイルが高いほど難題になりますが、リスクの低いプロファイルでは静的なユーザー名/パスワードで十分です。リスクベースの実装では、リスクレベルが適切な場合にのみアプリケーションが追加の資格情報をユーザーに尋ねることができます。
マシン認証は、リスクベースの認証設定でよく使用されます。コンピュータの認証はバックグラウンドで実行され、コンピュータが認識されない場合にのみ追加の認証を求めます。リスクベースの認証システムでは、追加の認証が必要かどうかを決定します。リスクが適切であると判断された場合は、帯域外通信でワンタイムパスワードを配信するなど、拡張された認証がトリガーされます。リスクベースの認証は、顧客が金銭の移動や住所変更などの特定のリスクの高い取引を実行したときに、セッション中に追加の認証を促すために使用することもできます。リスクベースの認証は、ログイン試行が新しいマシンからのものなど、何かが異常である場合にのみ追加の手順が必要なため、顧客にとって非常に有益です。

Supplemental access control とは

補足アクセス制御(Supplemental Access Control、SAC)は、電子旅券(電子パスポートなど)に含まれるデータを保護するためにICAOによって定義された一連のセキュリティ機能です。 SACは、ICAOのBasic Access Control(BAC)を補足し、改善するPassword Authenticated Connection Establishment(PACE)プロトコルを指定します。 PACEは、BACのように、次の2種類の攻撃を防ぎます。
 スキミング(文書への物理的アクセスなしで、所有者の承認なしにRFIDチップを読むことからなるオンライン攻撃)。チップを読み取る前に、検査システムは、文書(例えば、MRZ)上に印刷されたいくつかのデータまたは所有者にのみ知られているキー(個人識別番号(PIN))を知る必要があり、これは彼が喜んで手渡した検査のための書類。 BACはMRZのみで動作しますが、PACEではカードアクセス番号(文書に印刷されている短いキー)とPINを使用できます。盗聴(読者とチップの間で交換されたデータを記録することによって開始され、後で分析されるオフライン攻撃)。検査システムは、PACEを使用して非接触チップとの安全な通信チャネルを確立しますが、BACよりも強力な暗号を使用します。 PACEはオフライン攻撃に対する優れた保護機能を提供し、非接触チップを含むドキュメントのセキュリティをコンタクトチップを使用したドキュメントのレベルまで上げます。
PACEの導入により、第3世代の電子パスポートが始まります。 EU加盟国は、2014年末までに電子パスポートにPACEを実装しなければならない。世界的な相互運用性のために、BACを実装しないとPACEを実装してはならない。したがって、グローバルな相互運用性が達成され、文書検証プロセスの信頼性を確実にすることが重要です。相互運用性を実現するために、いわゆる相互運用性テストがあります。 SACに焦点を当てた最後のテストの結果は、現場での現在の実装状況を示しています。
ICAOの「補足的アクセス制御」技術報告のバージョン1.1(April 2014)は、アクティブ認証の代替としてチップ認証プロトコルを導入し、これをPACEと統合し、新しいプロトコル(チップ認証マッピング、PACE-CAM)別々のプロトコル。