高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
はじめに
情報セキュリティの世界にはいろいろな用語があります。その中でも「dacl」はよく耳にする重要な仕組みのひとつです。ここでは初心者の方にも分かるように、dacl の基本と使い方を丁寧に解説します。
dacl とは何か
DACL は Discretionary Access Control List の略で、ファイルやフォルダ、プログラムなどの資源に対して「誰が何をできるか」を決める権限リストのことを指します。所有者 が自分の資源に対して許可を設定できる点がDiscretionary の意味を表しています。
DACL は複数の ACE(Access Control Entry)と呼ばれる小さな部品で構成され、それぞれが「特定のユーザーやグループに対して何を許可または拒否するか」を定義します。DACL がない資源は基本的に誰も操作できませんが、DACL がある資源はACEの集合で権限が決まり、実際のアクセスはこれらの ACE が順番に評価されて決定されます。
DACL のしくみと関連する概念
DACL の役割は大きく分けて以下の二つです。まず アクセス許可(Allow)で誰に何をできるかを明示します。次に アクセス拒否(Deny)で特定の状況を打ち消す場合に使われます。注意点としては Deny が先に評価される場合がある点と、過剰な拒否は正当な権限を阻害するので慎重に設定する点です。
実務では、個々の資源に対して「所有者の意図した通りのアクセス」が実現されているかを確認するために、DACLとSACLの両方を確認します。SACL は監査の対象を示すもので、だれが何をしたかを追跡する際に役立ちます。
どうやって確認・変更するのか
日常的には Windows の場合が多く、資源を右クリックして「プロパティ」→「セキュリティ」タブを開くと DACL の内容を確認できます。ここでは各 ACE が「許可」または「拒否」として表示され、対象ユーザーやグループ、権限の組み合わせが一覧で見られます。
実際の設定手順は次のとおりです。1) 資源を右クリックしてプロパティを開く。2) セキュリティタブで現在のアクセス権を確認する。3) 編集ボタンをクリックして ACE を追加・削除・並べ替えする。4) 変更を適用し、他のユーザーにも影響が出る場合は影響範囲を再確認する。
重要なポイントとして 許可と拒否の組み合わせ、および グループ継承の設定には注意が必要です。継承を有効にすると親フォルダの DACL が子フォルダやファイルにも自動的に適用されます。これを理解していないと、予期せぬアクセス権の変化が起こることがあります。
よくある権限の例と表
| 意味 | |
|---|---|
| 読み取り | ファイルの中身を表示したり、リストを閲覧できる |
| 書き込み | ファイルの内容を変更できる |
| 実行 | プログラムを起動できる、実行可能ファイルを実行できる |
| 削除 | ファイルを削除できる |
この他にも 一覧の作成、全般の設定 など細かな権限があります。実務では最小特権の原則を守り、必要最低限の権限だけを付与するのが基本です。
実務での注意点とまとめ
DACL は資源のアクセスを細かく管理する強力な仕組みですが、誤設定をすると正当な利用者までアクセスできなくなるリスクがあります。設定を行う際には、以下を心がけましょう。
・資源の ownership を適切に設定すること
・DACL と SACL を区別して理解すること
・テスト用の環境で変更を検証したうえで本番に適用すること
・最小権限の原則を守ること
daclの同意語
- Discretionary Access Control List
- 権限を割り当てる裁量を資源の所有者が握るアクセス制御リスト。対象資源へのアクセスを誰に許可するかは所有者が決めます。
- 裁量アクセス制御リスト
- DACLの日本語訳で、資源に対するアクセス許可を所有者の裁量で決定するリストのこと。
- 裁量的アクセス制御リスト
- 同じく、資源へのアクセス許可を所有者が自由裁量で設定するタイプのアクセス制御リスト。
- 任意アクセス制御リスト
- アクセスの許可・拒否を任意に設定できる制御リストの別表現。
- Discretionary ACL
- Discretionary Access Control List の短縮形。所有者裁量で権限を割り当てるACLです。
- 裁量ACL
- 裁量アクセス制御リストの略称。日常的にはこの形で呼ばれることがあります。
- 任意ACL
- 任意アクセス制御リストの略称。DACLと同義で使われることがあります。
daclの対義語・反対語
- 強制アクセス制御(MAC)
- 所有者の裁量に依存せず、システムが一元的にポリシーでアクセス権を決定する制御方式。DACLの対義語としてよく挙げられる代表的な概念です。
- オープンアクセス
- 誰でも自由にアクセスできる状態。DACLでの厳密な権限設定を欠く、広く開放されたアクセスのイメージ。
- 無制限アクセス
- 特定の制限がなく、全員がアクセスできる状態。
- アクセス制御なし
- リソースに対するアクセス制御の仕組みが全く無い状態。
- SACL(システム監査用アクセス制御リスト)
- アクセスの許可・拒否ではなく監査イベントを決定する用途のリスト。DACLと用途が異なるが、対比的な要素として挙げられることがあります。
daclの共起語
- DACL
- Discretionary Access Control List(任意のアクセス制御リスト)。ファイルやリソースのアクセス権を、所有者が自由に設定できるACLの一種。
- ACL
- Access Control List(アクセス制御リスト)。リソースに対して誰がどの権限を持つかを列挙したもの。DACL/SACLの総称としても使われることがある。
- SACL
- System Access Control List(システム監査用アクセス制御リスト)。主に監査対象の権限を定義し、誰が何をしたかを記録するための設定。
- ACE
- Access Control Entry(アクセス制御エントリ)。個々の権限の割り当てを表す1つの項目。
- NTFS
- NT File System。Windowsのファイルシステム。DACLがファイルやフォルダに結びつくことが多い。
- SID
- Security Identifier(セキュリティ識別子)。ユーザーやグループを一意に識別するID。
- Security Descriptor
- セキュリティ記述子。DACL/SACL、所有者情報などをまとめて保持するデータ構造。
- Inheritance
- 継承。親オブジェクトのDACLを子オブジェクトにも自動的に適用する仕組み。
- Permission
- アクセス権限。読み取り、書き込み、実行などの権限の総称。
- Grant
- 付与。権限を与える操作や設定。
- Deny
- 拒否。特定の権限を禁止する設定。
- Resource
- リソース。ファイル、フォルダ、レジストリキーなどアクセス対象。
- Owner
- 所有者。セキュリティ設定の管理者。
- Windows Security
- Windowsのセキュリティ機能の総称。DACLはその一部。
- Active Directory
- Windowsのディレクトリサービス。ユーザー・グループの管理とDACLの運用と関連。
- Audit
- 監査。SACLを使って、アクセスの記録を取る機能。
daclの関連用語
- DACL (Discretionary Access Control List)
- 任意アクセス制御リスト。オブジェクトに対して誰がどの操作を許可されるかを個別の主体(SID)ごとに定義する、アクセス制御リストの一部。
- ACE (Access Control Entry)
- アクセス コントロール エントリ。DACLを構成する最小単位で、特定のSIDに対して許可・拒否の権限を定義します。
- Security Descriptor (SD)
- セキュリティ記述子。オブジェクトのセキュリティ情報をまとめたデータ構造で、DACL/SACL/所有者/グループを含みます。
- SACL (System Access Control List)
- システムアクセス制御リスト。監査ポリシーを定義するリストで、誰のアクセスを監査するか、成功/失敗を記録するかを設定します。
- SDDL (Security Descriptor Definition Language)
- セキュリティ記述子をテキストで表現する言語。DACL/SACL/Owner/Groupの内容を文字列として記述します。
- ACL (Access Control List)
- アクセス制御リストの総称。権限の集合を表し、DACLはACLの一種として実際の許可/拒否エントリを含みます。
- SID (Security Identifier)
- セキュリティ識別子。ユーザーやグループを一意に識別する識別子で、ACEが対象者を特定するために使います。
- Owner (所有者)
- オブジェクトの所有者。DACLの変更権限を持ち、権限の設定に影響します。
- Group (グループ)
- オブジェクトのデフォルトグループ。ファイルやオブジェクトの初期グループ情報として使われます。
- Inheritance (継承)
- 継承。親オブジェクトのDACLを子オブジェクトにも自動的に適用する機能です。
- Explicit ACE
- 明示的ACE。オブジェクトに対して直接設定されたACE。
- Inherited ACE
- 継承ACE。親オブジェクトのDACLから継承して適用されるACE。
- Deny ACE
- 拒否ACE。特定のSIDに対して権限を明示的に拒否します。
- Allow ACE
- 許可ACE。特定のSIDに対して権限を許可します。
- DAC (Discretionary Access Control)
- 任意アクセス制御。オブジェクトの所有者がアクセス権を自由に決定できるモデル。
- RBAC (Role-Based Access Control)
- ロールベースのアクセス制御。ユーザーは役割(ロール)を通じて権限を取得します。
- MAC (Mandatory Access Control)
- 必須アクセス制御。管理ポリシーに従って、個人の意思に関係なく権限を制限するモデル。
- NTFS
- Windowsのファイルシステム。DACLを使ってファイルやフォルダの権限を管理します。
- Security Principal (セキュリティプリンシパル)
- 権限を持つ主体の総称。通常はユーザー、グループ、サービスなどのSIDを指します。
- Access Token
- アクセス権トークン。現在のユーザーの権限情報を表し、アクセス判断に使われます。
- Audit (監査)
- 監査。SACLによってアクセスの成功/失敗を記録する仕組みです。
daclのおすすめ参考サイト
- DACL(随意アクセス制御リスト)とは - IT用語辞典 e-Words
- DACL(随意アクセス制御リスト)とは - IT用語辞典 e-Words
- SACL(システムACL)とは - IT用語辞典 e-Words
- ACLとは?意味・定義 | IT用語集 - NTTドコモビジネス
- Active Directoryのアクセス制御とは?【連載:ADについて学ぼう
インターネット・コンピュータの人気記事
