ダイナミックアクセス制御とはDynamic Access Control（DAC）

2013年03月29日Version 2.0

“データガバナンス” へのニーズ

CIO

インフラサポートコンテンツオーナー

Information Worker

正しいコンプライアンスが必要

どのデータに責任があって、どうやって制御すればよいかわからない

コンプライアンスに違反しているかどうか心配せずに必要なデータを使用したい

自分のデータが適切に保護されているかどうやって監査すればよいのだろう？

そうは言っても、複雑な ”データガバナンス”

監査暗号化

• グループメンバーシップの管理• 増え続けるグループとメンバー

増減への対応• 複雑なメンバーシップルール

• 監査対象データの識別• 暗号化すべきデータの識別• 膨大なデータ

• ファイル単位のアクセス権• 増え続けるファイル• 管理の分散（コンプライア

ンス測定不能）

アクセスポリシー

ID管理

User and Device Claims

• Restricted to making policy decisions based on the user’s group memberships

• Shadow groups are often created to reflect existing attributes as groups

• Groups have rules around who can be members of which types of groups

• No way to transform groups across AD trust boundaries

• No way to control access based on characteristics of user’s device

Pre-2012: Security Principals Only

• Selected AD user/computer attributes are included in the security token

• Claims can be used directly in file server permissions

• Claims are consistently issued to all users in a forest

• Claims can be transformed across trust boundaries

• Enables newer types of policies that weren’t possible before:

• Example: Allow Write if User.MemberOf(Finance) and User.EmployeeType=FullTime and

Device.Managed=True

Windows Server 2012: Security Principals, User Claims, Device Claims

Expression-Based ACEs

• Led to group bloat

• Consider 500 projects, 100 countries, 10 divisions

• 500,000 total groups to represent every combination:

• ProjectZ UK Engineering Users

• ProjectZ Canada Engineering Users [etc…]

Pre-2012: ’OR’ of groups only

• ACE conditions allow multiple groups with Boolean logic

• Example: Allow modify IF MemberOf(ProjectZ) AND MemberOf(UK) AND MemberOf(Engineering)

• 610 groups instead of 500,000

Windows Server 2012: ‘AND’ in expressions

• 3 User Claims & Resource Properties

Windows Server 2012: with Central Access Policies & Classification

アクセスコントロール

• アクセスコントロール（アクセス制御）とは...... ユーザーがアクセスしてもよいかどうかを評価するためのプロセス

• Windows の場合以下の 2 種類• ACL ベースのアクセスコントロール• Expression ベースのアクセスコントロール

アクセスアクセス権 ID情報

ACL（Access Control List）ベースのアクセスコントロール

ACE

Resource

ACL

ACE

ACE

ACE

Read/Write

ACE

A

Read Only

ユーザー

グループ

ACE

• リソースにアクセスコントロールエントリ（ACE）を静的に割り当てる

• 各 ACE は「OR」で接続される

AGDLP

Resource

ACL

ACE

ACE

ACE ドメイン ローカルグループ

Read Only

ACE

A :Account

G : Global Group

DL : Domain Local Group

P : Permission

グローバルグループ

“アクセス権”に合わせて作成されたグループ

グローバルグループ

組織や役割ごとのグループ

ユーザー

静的なACLを動的に管理するための Id プロビジョニングシステム

グループ

A

• 「静的」な ACE を「動的」に割り当てる仕組みも存在する

• Forefront Identity Manager のダイナミックグループ機能

workflow

メタデータ

グループ

Expression-Based グループ

通常のグループ Expression-Based グループ

RBAC（Role-Based Access Control）

ユーザーやグループ単位ではなく”役割”単位でアクセス制御すること

....とはいえ、Windows の場合「役割」を「グループ」として表現するしかない....

役割（Role：ロール） グループ 権限

公共事業部マーケティング部所属 PubSec-Marketing 読み取り

公共事業部営業部所属 PubSec-Sales 読み取り

公共事業部課長 PubSec-Managers 読み取り

公共事業部部長 PubSec-SrManagers 読み取り

・・・・・

グループベース RBAC の限界

Resource

ACLACE

A

Resource

• リソースの増加とグループの増加• 複雑なメンバーシップ管理（1グループ1人 !?）• イレギュラーでダイナミックな組織構造• リソース管理者 ≠ ID 管理者

ACL

ACE

A

A

A

A

A

A AACE

ACE

A

AA

A

ID 管理（ID 管理者）アクセス管理

（リソース管理者）連携が必要

Expression-Based Access Control

• ユーザー側の属性とリソース側で定義した属性の条件によってアクセスを制御

条件が合致すればアクセス可能

アクセスルールユーザーCountry = リソース Country

ユーザー Department = リソース Departmentデバイス Owner = “Microsoft”

ユーザー属性 リソース属性

デバイス属性

Dynamic Access Control

Resource

• Expression-Based Access Control...

...利用者のキャラクター（属性）によって動的にアクセスを制御する

• リソース管理者（リソースオーナー）は条件（Condition）を管理するだけ• ID 管理者は ID のプロビジョニングに対して責任を持つ

営業部Read

IT部Backup

経理部R/W

A

A

A

ID 管理（ID 管理者）アクセス管理

（リソース管理者）

IT部

経理部

営業部

A人事部

A企画部

condition

condition

condition

互いに素

Windows Server 2012 ダイナミックアクセス制御（DAC）

監査暗号化

• クレームベースのアクセス制御

• 監査ポリシーの集中管理• 自動識別と自動暗号化

• アクセスポリシーの集中管理

アクセスポリシー

ID管理

DAC によってそれぞれのテクノロジーを結びつける

DAC の想定シナリオ

• アクセスポリシー（Central Access Policy）の集中管理

全社コンプライアンスポリシー 組織の認可ポリシー

• ファイルアクセス監査ポリシー（Central Audit Policy）の集中管理

• File Classification Infrastructure（FCI）と連携したファイルの自動分類

データの自動分類 社外秘データの自動暗号化 法廷保存期間に沿ったファイルサーバー上のデータの保管

リソースごとに行っていたアクセス制御をエンタープライズレベルで統制

「クレームベースのアクセス制御」とは

• 「クレーム」とは「要求」のこと• 「要求」を出すのは「リソース（例：ファイルサーバー）側」• ユーザーはリソース側のクレームに合致した属性情報を「トークン」として提示• リソースは受け取ったトークンを解析してアクセス認可を判断

リソースユーザー

トークンを解析してアクセス認可を判断

Name = Junichi Anno

Company = MSKK

Department = Evangelism

Title = Evangelist

DAC でのアクセス制御プロセス

DAC においては• クレーム = 「分類属性」として定義• トークン = Kerberos チケットとして AD DS から発行される

AD DS

ログオン

属性情報を含んだKerberos チケット

チケットとクレームを照合

WindowsServer 2012 必須※属性を受信して解析する機能が必要

ユーザーon Windows 8

Name = Junichi Anno

Company = MSKK

Windows Server 2012 必須※Kerberosに属性を含める機構が必要

ファイルサーバー

（参考）クライアントが Pre-Windows 8 の場合

Windows 7 以前のクライアントの場合、属性が格納されたKerberosチケットを要求することができないため、ファイルサーバーがAD DSから属性情報を受け取る

AD DS

ログオン

従来の Kerberosチケット

チケットとクレームを照合

WindowsServer 2012 必須※属性を受信して解析する機能が必要

ユーザーon Pre-Windows 8

属性は含まれない

Windows Server 2003 以上のドメインレベル※Service-for-User-to-Self（S4U2Self）機構が必要

ファイルサーバー属性情報を含んだ

Kerberos チケット

分類属性（Classification Attributes）

• ファイルシステムが持つ標準的な属性情報を拡張するための「属性リスト」• 属性を編集するにはファイル サーバー リソース マネージャーのインストールが必須• AD DS 側で属性リストを集中管理し、グループポリシーとして配布可能

ファイルサーバー＋ ファイルサーバーリソースマネージャー

AD DS

DAC に必要なすべての情報が DC で集中管理される

条件が合致すればアクセス可能

アクセスルールユーザー Country = フォルダ R_Country

ユーザー Department = フォルダ R_Department

Active Directory Domain Service

DAC に必要な情報は3つ• ユーザーの属性情報• リソースの属性情報（分類属性）• アクセスルール

DAC によるアクセスポリシー管理の全体像

Country

Department

ソース（ユーザー）

リソース

R_Country

R_Department

クレームタイプ（要求の種類）

リソース プロパティ

Active Directory

グローバルリソース プロパティ リスト

結合

集約型アクセス規則

アクセス元の条件と条件を満たした時のアクセス権 ターゲットとなるリソースの条件

集約型アクセスポリシー

GPO

適用

分類属性とリソースの条件が合致すればアクセス権が与えられる

「Active Directory 管理センター」で作成した「集約型アクセスポリシー」をグループポリシーオブジェクト（GPO）に結合することでファイルサーバーに適用する

アクセス権適用の優先順位

Access

Control

Decision

共有のアクセス権

NTFSアクセス権

集約型アクセスポリシー

集約型アクセスポリシーが最優先される

アクセス拒否発生時の速やかな対応

ユーザーがファイル共有にアクセスして”アクセス拒否”が発生した際に、速やかな問題解決を図るために以下の対応が可能。

• メッセージの送信 to システム管理者 to 共有フォルダーの所有者

• アクセス権取得の要求

グループポリシーおよびファイルサーバーリソースマネジャーで設定

DAC に求められる条件

リソース管理者の責任

IT（ID）管理者の責任

• コンプライアンスに沿った条件設定• 状況に応じたダイナミックな設定変更

• ID 情報の精密性• 迅速な ID 情報の反映

管理者の管理範囲は狭くなるが、管理の精密性が求められる