必須アクセス制御とは何ですか?
強制アクセス制御(MAC)は、管理者がアクセス制御を設定し、システムがそれらを実施するシステムセキュリティへのアプローチであり、ユーザーがセキュリティ設定を上書きすることを許可しません。 これは、システムへのアクセスを制御するためのより積極的な方法である可能性があり、コンピューターに機密データまたは潜在的に危険なデータが含まれる状況で使用される場合があります。 システムは、どのユーザー、プロセス、およびデバイスがどの領域にアクセスする必要があるかを決定し、これを全面的に実施します。
システム管理者は、ユーザープロファイルに基づいて事前設定された必須アクセス制御ガイドラインを使用したり、システムに対策を追加したりできます。 これにより、管理者はシステム内のアクセスを微調整できます。 これらの設定が実装されると、管理者のみがそれらの設定を上書きできます。 システムは、設定を上書きしようとしても、適切なクリアランスがないとエンティティへのアクセスを許可できません。 これには、コンピューターユーザーだけでなく、システムに接続されているデバイスやプロセスも含まれます。
これは、任意アクセス制御として知られる別のアプローチとは対照的です。 このモデルでは、ユーザーはセキュリティ設定を上書きできます。 たとえば、ユーザーはすべての隠しファイルを表示するようにディレクトリに指示できますが、そうする必要があります。 これは、ユーザーが必要なアクセス権をユーザーが決定できるため、安全性が低下します。 アクセスの障壁に遭遇した場合、強制的なアクセス制御の下にあるべきではないはずのエリアから追い払われるのではなく、単純に回避することができます。
高度なセキュリティシステムでは、必須のアクセス制御が非常に重要です。 このようなシステムは、情報のセキュリティと機密性を維持するために制御に依存しています。 政府機関、金融会社、および複雑で個人的なデータを保持するその他の組織は、安全に保つ必要があります。 場合によってはこれが法律で義務付けられており、これらの組織は、検査官や監査人から要求されたときに、データを保護するアクセス制御およびその他の手段の証拠を提供できる必要があります。
他の設定では、必須のアクセス制御は不要な場合がありますが、役立つ場合があります。 管理者はこれを使用して、ユーザーが必要のない場所にユーザーを近づけないようにし、コンピューターシステムに関する知識のないユーザーによる不注意な設定変更などの問題を防ぐことができます。 複数の人が単一のコンピューター端末を使用する状況では、強制的なアクセス制御により、許可されていないアクティビティを防ぐことができます。 また、セキュリティ対策を回避するために、周辺機器またはプロセスにデータを送信する機会を制限する場合があります。