XML Consortium SOX法対策とアクセス制御 XACML v2.0の概要 eXtensible Access Control Markup Language OASIS Standard, 1 Feb 2005 2005年12月15日 XMLコンソーシアム セキュリティ部会 山根 利夫 (株)日立製作所 © XML Consortium アジェンダ XML Consortium 全体統制としてのアクセス制御 ロールベースアクセス制御 XACMLの概要 V2.0の強化点と製品化状況 © XML Consortium -2- Security SIG 15-Dec-2005 1. 全体統制としてのアクセス制御 「職務分離」と「アクセス制御」は、SOX法対応 に於いて、システムを保障する「IT全体統制」 の基本要素。(日本版SOX法 2006年?) XML Consortium © XML Consortium システムへ利用者を登録する方式での問題点 システム毎/職務毎の利用者登録 充分に複雑なパスワード/定期的なパスワード変更 退職、職務変更等に対する保守 IT全体統制としてのロールベースアクセス制御 利用者認証とアクセス制御の分離 職位等、利用者の属性/役割(ロール)による 自動的なアクセス権の保守 -3- Security SIG 15-Dec-2005 2. ロールベースアクセス制御:RBAC XML Consortium Role-Based Access Control ANSI INCITS 359-2004. 2004/3 静的な割当に対する 職務分離の強制 ロール割当 ロール階層 認証 利用者 ロール ロールへのアクセス 許可割当 セッション生成 © XML Consortium セッション 操作 対象 アクセス許可 利用形態(セッション)に よる動的な割当に対する 職務分離の強制 -4- Security SIG 15-Dec-2005 3. XACMLの概要 XML Consortium •大組織では「利用者」と「ロール」の関連管理が膨大 •XACMLでは、既存の組織管理上の「属性」情報を活用 アクセス制御 属性に対するポリシー ポリシー によるアクセス許可 ポリシー階層 認証 © XML Consortium 主体 属性 PEP 動作 リソース アクセス許可 属性の割当は XACMLの範囲外 PEP:Policy Enforcement Point -5- Security SIG 15-Dec-2005 3.1 XACMLの位置付け PDP: Policy Decision Pont SAML: Security Assertion Markup Language WS-TRUST: WEB Service Trust 認証 XML Consortium 認証 アサーション 要求者 SAML WSリクエスト セキュリティトークン PEP 認証 アサーション 承認 アサーション WS-TRUST © XML Consortium 制御 アクセス WSポリシー (分散型) 判断 PDP XACML 属性 WS-TRUST アサーション RBAC 主体⇔属性 -6- リソース アクセス制御 ポリシー 関連定義 職務分離 Security SIG 15-Dec-2005 3.2 XACMLのデータフロー詳細 13.責務 責務サービス PEP 2.アクセス要求 要求者 ポリシー実行ポイント XML Consortium XACMLのスコープ 3.要求 4.要求通知 5.属性検索 PDP ポリシー判定ポイント 10.属性 11.応答 コンテキスト 12.応答 9.リソース コンテキスト コンテキスト ハンドラー リソース DB リソース 6.属性検索 8.属性 1.ポリシー PIP 7c. リソース属性 ポリシー情報ポイント 7b. 環境属性 ポリシーDB 7a. 属性 PAP 属性DB ポリシー管理ポイント © XML Consortium 主体 -7- 環境 Security SIG 15-Dec-2005 XML Consortium 3.3 ポリシー定義例 <Policy PolicyId=“Policy1” RuleCombiningAlgID=“Deny-Override”> <Rule RuleID=“Rule1” Effect=Permit> 何れかのruleで否なら不許可 <Target> アクセスを許可する <Subjects> <Subject> <SubjectMatch MatchId=“function:string-match”> <SubjectAttributeDesignatir AttributeId=“identifier:subject:role”/> <AttributeValue>administrator</AttributeValue> </Subject> </Subjects> roleがadministratorで <Actions> <Action> <ActionMatch ActionMatchId=“function:string-equal”> <TargetAttributeDesignator AttributeId=“urn:xx:target:action”/> <AttributeValue>read</AttributeValue> </ActionMatch> </Action> actionがreadの場合 </Actions> </Target> </Rule> : </Policy> © XML Consortium -8- Security SIG 15-Dec-2005 4. V2.0の強化点と製品化状況 V2.0での主な強化点 XML Consortium プロファイルの整備(SAML,Digital Signature, LDAP 等) プライバシーポリシー対応 複数リソース、複数の属性値対応 製品化状況 © XML Consortium SUN Microsystems ’05/1 SUNXACMLでXACMLv2.0をサポート済み。 ORACLE 買収したOblix製品をベースに、Identity Managementで ’06半ばに、XACMLをサポート予定。 -9- Security SIG 15-Dec-2005 付録1 ポリシー言語仕様 XML Consortium PolicySet PolicyCombining Algolothm Policy Target Obligation "send-mail" PolicyCombining Algolothm Subject Resource Action Environment "bs@si- "file:Bartmpsons Simpson" "read" "current-date" .com" © XML Consortium Rule Condition “string-equal" - 10 - :Deny-overrides :Permit-overrides :First-applicable :Only-one-applicable Effect "permit" :Permit :Deny Security SIG 15-Dec-2005
© Copyright 2024 ExpyDoc
