アクセス制御

セキュリティ対策として、機密性（盗聴や漏洩）の確保は重要です。
そのために、利用者の権限を区分して、 資産を利用するアクセスを制限する必要があります。
アクセス制御の考え方では次のような区分があげられるでしょう。

• 物理的なアクセス制御：
  許可されていない人が、その情報源に触れなくするような、 入室管理などが上げられます。機密性の高い施設には、 バイオメトリック認証などが使われます。
• 時間帯によるアクセス制御 サービスを利用できる時間帯を限定することです。 サービスに不必要な時間帯があれば、その時間のサービスを止めることで、 脅威にさらされる時間も少なくなるというわけです。 （また、ユーザーが利用できない時間帯に、保守を行うと容易です。）
• ネットワークによるアクセス制御 ネットワークフィルタリング機能をもつファイアウォールなどです。
  また、VLANを使って分割するような手法でもアクセス制限がつくられます。
• ユーザによるアクセス制御 ユーザのログオンによって、利用者を識別します。
  識別したユーザーにより、ファイルやディレクトリ制御を行います。 つまり、読み込み、書き込み、実行、削除などの パーミッション（permission：許可）設定です。 また、システムによって操作ログを残すなどの監視も可能です。
  しかしこの認証で不正があった場合、 対処しようがありません。よって、 認証を強化することは 非常に重要です。

　Miscosoft Windowsのアクセス制御

現行のWindowsの標準ファイルシステムである「NTFS」にはアクセス制御機能が搭載されています。

これで、ユーザーやグループごとに、ファイルや ディレクトリの「読み込み」、「書き込み」 「削除」「実行」などの権限の制限を指定できます。
しかし、この保護だけでは不十分です。 この機能は、利用できるシステムだけに通用するもの なので、HDDを取り外し、利用せずに直接アクセス システムで使えば、アクセス可能です。 よって、ノートPC盗難の情報漏えい対策に はなりません。

しかし、ファイルやフォルダの暗号機能を併用すると 漏洩対策として堅牢なものになります。 これは、Windows2000以降から使える機能で、 「EFS（Encrypting File System）」 暗号化ファイルシステムと呼ばれます。
次のように、ファイルプロパティの詳細設定で、 暗号化した後は、暗号化したユーザーは暗号化 したことを意識せずにファイルを操作できます。
これには、「FEK：ファイル暗号キー」と呼ばれる 共通鍵（XP　SP-1以降はAESなど）が使われます。
この鍵は、ファイルの暗号化ごとに生成され、 FEKユーザーの公開鍵で暗号化されて ファイルと一緒に記憶されます。
そして、ファイルの復号時に、ユーザーの秘密鍵 で復号され、その共通鍵がファイルの復号で使われます。
誤って、そのユーザーのアカウントを削除すると 復号できなくなるので注意が必要です。（Active　Directory環境なら回復できます。）