この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントの目的のために、ISO/IEC 24760-1, ISO/IEC 29115, および以下に記載されている用語と定義が適用されます。
3.1
アクセス制御
リソースに対して実行される操作の許可または拒否 (3.14)
注記1:アクセス制御の主な目的は、ビジネス要件およびセキュリティ要件に基づいて、情報への不正アクセスまたはICTリソースの使用を防止することです。つまり、特定のアクセス要求に対する承認ポリシーの適用です。
注記 2:認証された サブジェクト (3.15) が要求を行うと、リソース所有者は、アクセス ポリシーとサブジェクトの特権に従ってアクセスを許可 (または許可しない) します。
3.2
アクセス管理
一連の リソース (3.14) に対する アクセス制御 (3.1) を管理する一連のプロセス
3.3
アクセストークン
サブジェクト (3.15) が リソース (3.14) にアクセスする権限をカプセル化した信頼できるオブジェクト
注記 1アクセストークンは、リソースのポリシー決定ポイント (PDP) によって発行され、ポリシー施行ポイント (PEP) によって消費されます。
注記2:アクセストークンには、サブジェクトがリソースにアクセスするためのアクセス許可情報と、認可決定の権限に関する識別情報が含まれる場合があります。
注記 3アクセストークンには、その完全性を検証できるようにする情報が含まれている場合があります。
注記 4アクセストークンは、物理的または仮想的な形式をとることができます。
3.4
属性
リソースへのアクセスを記述および制御するために使用される特性または特性 (3.14)
注記1資源にアクセスするための規則は, アクセス制御(3.1) ポリシーで定義されている。このポリシーは, サブジェクト(3.15) による特定の操作のための資源へのアクセス許可に必要な属性を指定する。
注記 2属性には,サブジェクト属性,リソース属性,環境属性,及びアクセス制御ポリシーで指定されたアクセス制御に使用されるその他の属性を含めることができる。
3.5
終点
アクセス制御(3.1) 機能が実行される アクセス管理(3.2) システム内の場所。
- サブジェクト (3.15) 認証が実行される認証エンドポイント。
- サブジェクトの承認が実行される承認エンドポイント。
- エンドポイントを検索して特定するエンドポイント検出サービス。
- アクセス管理システムとのサブジェクトの対話の開始時に使用される初期エンドポイント検出サービス。
注記 2:エンドポイント検出サービスは、分散型およびネットワーク化されたシステムで一般的に使用されます。
3.6
エンタープライズ中心の実装
ポリシー決定ポイントの制御下で実施される アクセス管理 (3.2) 。
3.7
知っておく必要があります
サブジェクト (3.15) の データ リソース (3.14) へのアクセスを、要求しているユーザーがその機能を実行するために必要な最小限に抑えるというセキュリティ目標。
注記 1: Need-to-Know はリソース所有者の裁量で許可されます。
注記 2: Need-to-have は、リソース所有者の裁量で制限される可能性のある特定のタスクを遂行するためのリクエスタのセキュリティ目標です。
3.8
特権
アクセス権
許可
リソース(3.14) にアクセスするための サブジェクト(3.15) への承認
注記 1:特権はアクセスの必要条件ですが、十分条件ではありません。アクセス制御ポリシーに従ってアクセス要求が許可されると、アクセスが発生します。アクセス制御ポリシーは特権に基づいており、その他の環境要因 (時刻、場所など) が含まれる場合があります。
注記 2:特権は、サブジェクトがリソースに対して実行する意思のある操作を許可または拒否するために、ポリシー決定ポイントによって使用される、サブジェクトによって提示された、またはサブジェクトに対して取得されたデータの形式をとります。
注記 3:リソースには、定義されたさまざまなレベルのアクセスに対応する複数の別個の特権が関連付けられている場合があります。たとえば、データ リソースには、サブジェクトへの割り当てに使用できる読み取り、書き込み、実行、および削除の特権を含めることができます。サブジェクトによるリソースへのアクセス要求は、要求されたアクセスのレベルとサブジェクトに割り当てられたリソース特権に応じて、一部のレベルのアクセス要求では許可されますが、他のレベルでは許可されない場合があります。
3.9
役割
複数のエンティティによって実行されるシステム機能の定義済みセットに付けられた名前
注記 1:名前は通常、機能を説明するものです。
注記2:実体は人間の対象である可能性がありますが、必ずしもそうである必要はありません。
注記 3:役割は、一連の 特権 (3.8) 属性によって実装され、データ リソースまたはオブジェクトへの必要なアクセスを提供します。
注記 4:役割に割り当てられたサブジェクトは、役割に関連付けられたアクセス権限を継承します。運用上の使用では、役割の機能を実行する前に、サブジェクトは役割グループのメンバーとして認証される必要があります。
3.10
政策決定点
PDP
アクセス制御ポリシーを実装して、エンティティからのリクエストを判断して リソースにアクセスし (3.14) 、 ポリシー実施ポイント (3.11) で使用するための承認決定を提供するサービス。
注記1:認可の決定は、リソースへのアクセスを制御するためにポリシー実施ポイントによって使用されます。承認の決定は、 アクセス トークン (3.3) を使用して伝達される場合があります。
注記 2: PDP は、監査証跡の決定も監査し、アラームをトリガーすることができます。
注記 3:この用語は、ISO 10181-3 のアクセス決定機能 (ADF) に対応する。この関数は、 サブジェクト (3.15) からネットワークを介して配置され、対応する PEP (3.11) からネットワークを介して配置される可能性があると想定されます。
3.11
ポリシー実施ポイント
PEP
ポリシー決定ポイント (3.10) によるアクセス決定を実施するサービス
注記 1: PEP は、エンティティによる リソースへのアクセスを制御するために、PDP によって行われた承認決定を受け取り、それらを実装します (3.14) 。認可決定は、アクセス要求が行われたときに、 サブジェクト (3.15) によって提示された アクセス トークン (3.3) の形式で受信される場合があります。
注記 2:この用語は、ISO 10181-3 の Access Enforcement Function (AEF) に対応する。この機能は、サブジェクトからネットワークを介して配置され、対応する PDP (3.10) からネットワークを介して配置される可能性があると想定されます。
3.12
ポリシー管理ポイント
DAP
アクセス認可ポリシーを管理するサービス
3.13
ポリシー情報ポイント
PIP
ポリシー決定ポイント (3.10) が許可決定を行うために使用する 属性 (3.4) のソースとして機能するサービス
注記 1:属性には、 リソース (3.14) 、 サブジェクト (3.15) 、および環境 特権 (3.8) /パーミッションを含めることができます。
3.14
資力
オブジェクト
サブジェクトが使用するためにアクセスできる物理的、ネットワーク、または任意の情報資産 (3.15)
3.15
主題
アクセス制御(3.1) システムによって制御される リソース(3.14) へのアクセスを要求するエンティティ
3.16
セキュリティトークンサービス
STS
ポリシー決定ポイント (3.10) による決定に基づいて、 アクセス トークン (3.3) を構築、署名、交換、および発行するサービス。
注記 1:このサービスは、個別のコンポーネントに分割される場合があります。
3.17
主題中心の実装
リソース(3.14) にアクセスするための ポリシー実施ポイント(3.11) によって認識される手段を取得するために サブジェクト(3.15) によって呼び出されるコンポーネントサービスとして実装される アクセス管理(3.2 )。
注記 1:コンポーネントサービスには、ポリシー決定ポイントサービス、ポリシー実施ポイントサービス、およびサブジェクトが アクセス制御 (3.1) サービスを見つけて連絡できるようにする関連ディスカバリーサービスが含まれる場合があります。
参考文献
| [1] | 勧告 ITU-T X.812 | ISO/IEC 10181-3, 情報技術 — オープン システム相互接続 — オープン システムのセキュリティ フレームワーク: アクセス制御フレームワーク |
| [2] | Identity Management, 文書番号: W041, 著作権 © [2004 年 3 月] The Open Grou, http ://www.opengroup.org/onlinepubs/7699959899/toc.pdf |
| [3] | ITU-T X.1252:2010, ベースライン ID 管理用語と定義 (04/10) |
| [4] | SC 27 Standing Document 6 (SD 6) IT セキュリティ用語集 |
| [5] | 開発中の定義のレビュー ISO/IEC JTC 1/SC 27 N5603 |
| [6] | Gollmann Dieter, 「COMPUTER SECURITY」、WILLEY (1999) |
| [7] | RFC 6749, OAuth 2.0 認証フレームワーク、IET, http://www.ietf.org/rfc/rfc6749.txt |
| [8] | Priebe T.、Dobmeier W.、schläger C.、Kamprath N.、オントロジーによる属性ベースのアクセス制御のサポート、可用性、信頼性、およびセキュリティに関する第 1 回国際会議 (ARES'06)、IEEE Computer Society (2006) の議事録 |
| [9] | 米国国立標準技術研究所 (NIST)、「役割ベースのアクセス制御と役割ベースのセキュリティ」; http://csrc.nist.gov/groups/SNS/rbac/ . |
| [10] | 米国国立標準技術研究所 (NIST)、NISTIR 7657, 「権限 (アクセス) 管理ワークショップに関するレポート」 http://csrc.nist.gov/publications/nistir/ir7657/nistir-7657.pdf |
| [11] | 米国国立標準技術研究所 (NIST)、SP800-162 属性ベースのアクセス制御 (ABAC) の定義と考慮事項に関するガイド (2014 年 1 月) |
| [12] | 標準 OASIS, 「eXtensible Access Control Markup Language (XACML) バージョン 3.0」(2013 年 1 月) http://docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-os-en.pdf |
| [13] | アイデンティティ管理監査/保証プログラム、ISACA, ISBN 978-1-60420-298-4 |
| [14] | COBIT を使用した IT アシュアランス ガイド、ISACA |
| [15] | COBIT (Control Objectives for Information and Related Technology) 4.1 および 5.0, エンタープライズ IT のガバナンスと管理のためのビジネス フレームワーク、ISACA |
| [16] | Part 2: ITU-T X.509 | ISO/IEC 9594-8:2014 情報技術 - ディレクトリのオープン システム相互接続: 公開鍵および属性証明書フレームワーク |
| [17] | Kantara Initiative 、「OAuth 2.0 のユーザー管理アクセス (UMA) プロファイル」、バージョン 1., https: //docs.kantarainitiative.org/uma/draft-uma-core.html |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 24760-1, ISO/IEC 29115, and the following apply.
3.1
access control
granting or denying an operation to be performed on a resource (3.14)
Note 1 to entry: A primary purpose of access control is to prevent unauthorized access to information or use of ICT resources based on the business and security requirements; that is, the application of authorization policies to particular access requests.
Note 2 to entry: When an authenticated subject (3.15) makes a request, the resource owner will authorize (or not) access in accordance with access policy and subject privileges.
3.2
access management
set of processes to manage access control (3.1) for a set of resources (3.14)
3.3
access token
trusted object encapsulating the authority for a subject (3.15) to access a resource (3.14)
Note 1 to entry: An access token is issued by the policy decision point (PDP) and consumed by the policy enforcement point (PEP) for the resource.
Note 2 to entry: An access token may contain access permission information for a subject to access the resource and identifying information for the authority of the authorization decision.
Note 3 to entry: An access token may contain information that enables its integrity to be validated.
Note 4 to entry: An access token may take a physical or a virtual form.
3.4
attribute
characteristic or property used to describe and to control access to a resource (3.14)
Note 1 to entry: The rules for accessing a resource are defined in an access control (3.1) policy which specifies the attributes required for the granting of access by a subject (3.15) to a resource for a specific operation.
Note 2 to entry: Attributes can include subject attributes, resource attributes, environmental attributes and other attributes used to control access as specified in the access control policy.
3.5
endpoint
location in an access management (3.2) system where an access control (3.1) function is performed
- authentication endpoint, where subject (3.15) authentication is performed;
- authorization endpoint, where subject authorization is performed;
- endpoint discovery service, that searches for and locates endpoints;
- initial endpoint discovery service, used at the start of subject interactions with an access management system.
Note 2 to entry: Endpoint discovery services are commonly used in distributed and networked systems.
3.6
enterprise centric implementation
access management (3.2) conducted under the control of a policy decision point
3.7
need-to-know
security objective of keeping the subject’s (3.15) access to data resources (3.14) to the minimum necessary for a requesting user to perform their functions
Note 1 to entry: Need-to-know is authorized at the discretion of the resource owner.
Note 2 to entry: Need-to-have is the security objective of the requester for the fulfilment of specific tasks that may be limited at the resource owner’s discretion.
3.8
privilege
access right
permission
authorization to a subject (3.15) to access a resource (3.14)
Note 1 to entry: Privilege is a necessary but not sufficient condition for access. Access occurs when the access request is granted according to its access control policy. The access control policy is based on privileges and may include other environmental factors (e.g. time-of-day, location, etc.)
Note 2 to entry: Privileges take the form of data presented by a subject or obtained for a subject that is used by a Policy Decision Point in order to grant or deny an operation that a subject is willing to perform on a resource.
Note 3 to entry: A resource may have multiple distinct privileges associated with it which correspond to various defined levels of access. For example, a data resource could have read, write, execute and delete privileges available for assignment to subjects. A request by a subject for access to the resource might be allowed for some levels of access request but disallowed for other levels depending on the level of access requested and the resource privileges that have been assigned to the subject.
3.9
role
name given to a defined set of system functions that may be performed by multiple entities
Note 1 to entry: The name is usually descriptive of the functionality.
Note 2 to entry: Entities can be but are not necessarily human subjects.
Note 3 to entry: Roles are implemented by a set of privilege (3.8) attributes to provide the necessary access to data resources or objects.
Note 4 to entry: Subjects assigned to a role inherit the access privileges associated with the role. In operational use, subjects will need to be authenticated as members of the role group before being allowed to perform the functions of the role.
3.10
policy decision point
PDP
service that implements an access control policy to adjudicate requests from entities to access resources (3.14) and provide authorization decisions for use by a policy enforcement point (3.11)
Note 1 to entry: Authorization decisions are used by a policy enforcement point to control access to a resource. An authorization decision may be communicated through the use of an access token (3.3) .
Note 2 to entry: PDP also audits the decisions in an audit trail and is able to trigger alarms.
Note 3 to entry: The term corresponds to Access Decision Function (ADF) in ISO 10181-3. It is presumed that this function is located over a network from the subject (3.15) , and may be located over a network from the corresponding PEP (3.11) .
3.11
policy enforcement point
PEP
service that enforces the access decision by the policy decision point (3.10)
Note 1 to entry: The PEP receives authorization decisions made by the PDP and implements them in order to control access by entities to resources (3.14) . An authorization decision may be received in the form of an access token (3.3) presented by a subject (3.15) when an access request is made.
Note 2 to entry: The term corresponds to Access Enforcement Function (AEF) in ISO 10181-3. It is presumed that this function is located over a network from the subject and may be located over a network from the corresponding PDP (3.10) .
3.12
policy administration point
PAP
service that administers access authorization policy
3.13
policy information point
PIP
service that acts as the source of attributes (3.4) that are used by a policy decision point (3.10) to make authorization decisions
Note 1 to entry: Attributes can include resource (3.14) , subject (3.15) and environment privileges (3.8) /permissions.
3.14
resource
object
physical, network, or any information asset that can be accessed for use by a subject (3.15)
3.15
subject
entity requesting access to a resource (3.14) controlled by an access control (3.1) system
3.16
security token service
STS
service that builds, signs, exchanges and issues access tokens (3.3) based on decision made by a policy decision point (3.10)
Note 1 to entry: This service may be split into separate components.
3.17
subject centric implementation
access management (3.2) implemented as component services that are called by a subject (3.15) to acquire the means recognized by the policy enforcement point (3.11) for accessing a resource (3.14)
Note 1 to entry: Component services may include policy decision point service, policy enforcement point service and associated discovery services that enable the subject to locate and contact the access control (3.1) services.
Bibliography
| [1] | Recommendation ITU-T X. 812 | ISO/IEC 10181-3, Information technology — Open Systems Interconnection — Security frameworks for open systems: Access control framework |
| [2] | Identity Management, Document No: W041, Copyright © [March 2004] The Open Group (Skip Slone and The Open Group Identity Management Forum), http://www.opengroup.org/onlinepubs/7699959899/toc.pdf |
| [3] | ITU-T X.1252:2010, Baseline identity management terms and definitions (04/10) |
| [4] | SC 27 Standing Document 6 (SD 6) Glossary of IT security terminology |
| [5] | Review Developing Definitions ISO/IEC JTC 1/SC 27 N5603 |
| [6] | Gollmann Dieter, “COMPUTER SECURITY”, WILLEY (1999) |
| [7] | RFC 6749, The OAuth 2.0 Authorization Framework, IETF (October 2012), http://www.ietf.org/rfc/rfc6749.txt |
| [8] | Priebe T., Dobmeier W., Schläger C., Kamprath N., Supporting Attribute-based Access Control with Ontologies, In proceedings of the First International Conference on Availability, Reliability and Security (ARES’06), IEEE Computer Society (2006) |
| [9] | National Institute of standards and Technology (NIST), “Role Based Access Control and Role Based Security”; http://csrc.nist.gov/groups/SNS/rbac/ . |
| [10] | National Institute of standards and Technology (NIST), NISTIR 7657,"A Report on the Privilege (Access) Management Workshop" http://csrc.nist.gov/publications/nistir/ir7657/nistir-7657.pdf |
| [11] | National Institute of standards and Technology (NIST), SP800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations (January 2014) |
| [12] | Standard O.A.S.I.S., “eXtensible Access Control Markup Language (XACML) Version 3.0” (January 2013) http://docs.oasis-open.org/xacml/3.0/xacml-3.0-core-spec-os-en.pdf |
| [13] | Identity Management Audit/ Assurance Program, ISACA, ISBN 978-1-60420-298-4 |
| [14] | The IT Assurance Guide Using COBIT, ISACA |
| [15] | COBIT (Control Objectives for Information and Related Technology) 4.1 and 5.0, A Business Framework for the Governance and Management of Enterprise IT, ISACA |
| [16] | Part 2: ITU-T X.509 |ISO/IEC 9594-8:2014 Information technology — Open Systems Interconnection the Directory: Public-key and attribute certificate frameworks |
| [17] | Kantara Initiative, “User-Managed Access (UMA) Profile of OAuth 2.0”, Version 1.0 (2015-02-23), https://docs.kantarainitiative.org/uma/draft-uma-core.html |