強制アクセス制御(MAC)
強制アクセス制御(Mandatory Access Control、MAC)は、情報セキュリティの一種であり、アクセス制御の一形態です。MACは、セキュリティポリシーに基づいてシステムやデータへのアクセス権を強制的に制御する仕組みです。この制御は、システムの管理者が設定したルールに従って自動的に行われます。
MACは、通常のアクセス制御モデルである任意アクセス制御(Discretionary Access Control、DAC)とは異なります。DACでは、リソースの所有者がそのリソースに対するアクセス権を制御しますが、MACではシステムの管理者やセキュリティポリシーによって設定されたルールに基づいてアクセス権が決定されます。
MACの主な特徴や仕組みは以下の通りです
- ラベルベースのアクセス制御
MACでは、各オブジェクト(ファイル、データベース、デバイスなど)とサブジェクト(ユーザー、プロセスなど)にセキュリティラベルが付与されます。このラベルに基づいて、アクセス制御が行われます。 - 強制的なアクセス制御
ラベルに基づいてシステムが自動的にアクセス権を判断し、アクセスを許可または拒否します。ユーザーが自分のリソースに対するアクセス権を自由に変更することはできません。 - 標準的なセキュリティラベリング
MACシステムでは、セキュリティラベルに基づいて機密性、整合性、可用性などのセキュリティ属性を定義します。これにより、リソースや情報に対する適切な保護が実現されます。 - セキュリティポリシーの強制執行
MACは、セキュリティポリシーに従うようにシステム全体を強制します。ユーザーやプロセスがセキュリティポリシーを回避することはできません。
MACは、特に機密性が高いデータやシステム、重要な国家機関、軍事機関などの環境で広く使用されています。これらの環境では、情報漏洩や悪意のある操作からデータやシステムを保護するためにMACが重要な役割を果たしています。
