セキュリティの基本原則:最小権限という概念とその実装Magi's View(3/3 ページ)

» 2008年02月05日 07時48分 公開
[Bruce-Byfield,Open Tech Press]
SourceForge.JP Magazine
前のページへ 1|2|3       

将来的な動向

 Wreski氏の信じるところでは、ソーシャルネットワーキングやそのほかのWeb2.0型アプリケーションを運用するサイトが増加している現在こそ、最小権限の原則がよりいっそう重要となっていることになる。それはつまり、こうした用途の増加は「ネットワークセキュリティの各所が無力化され得ることを意味します。秘書がデフォルトパスワードを外に漏らしたり、従業員の1人がユーザーレベルではなくアプリケーションレベルでロックをしてしまえば、ユーザーアクセスの制限などは無意味になるからです」というのがその根拠だ。

 フィッシングという手口も巧妙化するにつれてその成功率は高まっており、Wreski氏の予測するところによると、最小権限の原則についてもアプリケーションへの組み込みだけでなく、よりきめ細かな粒度化という要請も高まるであろうということだ。その証拠として同氏が掲げているように、現在はマルチレベルセキュリティに対する関心が高まりつつあるが、その中に取り込まれているアクセスの優先順位づけという概念を同氏は「最小権限の原則の理想像にかなり近い存在」としている。ただしWreski氏はこのマルチレベルセキュリティについても「非常に複雑化する可能性があるため、それを扱うIT技術者が各自のポリシを簡単にカスタマイズできる方法の確立を迫られるでしょう」という警告を発している。

 本稿で論じた問題をWreski氏は次のようにまとめている。「検討すべき問題の1つは、有効なセキュリティポリシを確立することだけでなく、それらをいかにうまく統合するかです。例えばその性質上Webサーバアプリケーションは電子メール用アプリケーションと関係しますし、これらはアンチウイルス/アンチスパム系アプリケーションと関係を持つことになります。企業ネットワークのセキュリティについてはさまざまな側面が存在しますが、その中でも特に2008年で注目されるのは、プラットフォームとアプリケーションの統合開発をどのように進めるかになるでしょう。最小権限の原則の採用といっても、それを単に取り入れただけと、巧みに統合したとでは大違いですからね。最小権限の原則の実装を成功させる上で有利な立場にあるのは、アプリケーションの開発とそのセキュアなプラットフォームへの統合についての経験を有しているベンダーだといえるでしょう」

前のページへ 1|2|3       

Copyright © 2010 OSDN Corporation, All Rights Reserved.

注目のテーマ