ブログ

ABAC ではなく RBAC: コンテキスト セキュリティの (IoT) の世界へようこそ

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2015 年 9 月 7 日公開

一見単純に見えるapplication要求から、一見しただけではわからない多くの属性を収集できます。 もちろん、IP アドレスもあります。 そこから自分の位置を特定することができます。 それが地理位置情報であり、そのデータを取得することは今日ではかなり標準的な手法です。 しかし、そこから「企業所有地内」といった他の属性も推測できます。 また、より高度なデータマイニングを使用して、applicationにアクセスしようとしているユーザーにとってその場所が一般的かどうかを判断することもできます。

これは IP アドレスからのものだけです。 applicationにアクセスするために送信された HTTP リクエストのヘッダーを調べることで、オペレーティング システムとデバイスのパラメータを簡単に取得できます。 ウェブブラウザの場合、さらに詳細なフィンガープリンティングが実行でき、その後、以前の通信と比較して、「Jim」が実際に過去にアクセスを許可した「Jim」と同じ人物であるかどうかを判断できます。

これらすべての情報、つまり抽出および推測された変数は、application配信コントローラー (ADC) 業界で長年「コンテキスト」と呼ばれてきたものを構成します。 そのコンテキストは、セキュリティに関する決定を通知し、配信におけるイノベーションを可能にし、applicationエクスペリエンスを向上させる加速技術の適用を支援します。

したがって、RBAC の終焉と ABAC (属性ベースのアクセス制御) の導入を宣言するこの記事を読んでも驚きませんでした。  これは文脈に基づいており、より口にしやすい(そしてはるかにフォーマルなように聞こえる)よりかっこいい頭字語で説明されているだけです。  この記事の焦点は (先に読んでください。戻ってきたらここにいます...)、主な承認手段としての役割を排除し、属性に置き換えることにあり、内部または企業間のアクセス制御メカニズムについて説明していますが、その概念は幅広く適用できます。 これは、銀行や金融業界全体にわたる不正防止ソリューションで広く使用されています。 おそらく、これまでにも銀行取引や株価チェックのためにログインした際に、アプリがセキュリティに関する質問を表示して煩わせたことがあるでしょう。これは、普段とは異なる場所からログインしていたり、新しいデバイスや異なるブラウザを使用していたりするためです。

 

 

IoT 統計ブロック

過去 15 年間の侵害のかなりの割合がapplicationアクセスの問題 (主に資格情報の盗難) に起因し、数百万ドルの詐欺や個人情報の損失につながっていることを考えると、企業データと消費者データの両方を保護するために、このような手法がますます重要になっています。 Javelin Strategy & Research の2014 年個人情報詐欺レポートによると、 カードデータの漏洩と消費者の不適切なパスワード使用習慣が、憂慮すべき詐欺の傾向を助長しています。一般的に、漏洩の 61% は盗まれた資格情報によるものです。 

そして現在、世界中のアプリと通信する「モノ」の数が増えていることを考えると、「モノ」にアプリへのアクセスを提供する必要性は不可欠です。

そして、それは伝統的に何らかの形の資格を意味します。 盗まれて悪用され、内部システム、ネットワーク、データに大混乱を引き起こす可能性のある資格情報。

現在、私が知る限り、役割へのアクセスを許可するために必要なすべての「もの」を割り当てることを真剣に検討している組織はありません。 それを達成するために必要な規模は可能ですが、現実的ではありません。 また、あらゆる「もの」に個別のアイデンティティを割り当てることは、克服できない課題であるように思われます。数学的には決して到達できない限界*です。 しかし、実際には、それらのデバイス (およびその所有者) は、少なくともその一部はデータ センター内にある可能性のあるアプリにアクセスする必要があります。 それをアクティブ化し、制御し、レポートするアプリ。

これは展開前に考慮することが重要です。 前に 一般提供開始。 前に 何百万人もの消費者があなたの「もの」を使ってそれらのアプリにアクセスしようとしています。

問題が発生する前に、安全なアクセスを提供する方法を検討してください。 数百万台のデバイスにファームウェアやソフトウェアの更新が必要になる前に、コンテキスト (属性) に基づいたソリューションを設計します。

ネットワーク インターフェイス (イーサネット、Bluetooth など) のベンダーは、MAC アドレスによって識別できます。 これは、ローカル ネットワークのトラブルシューティングを行う際に非常に重要な情報であり、特にエンジニアやオペレーターがパケット キャプチャで容易に識別できる場合は重要です。 ABAC システムの設計と実装に役立つ、同じ種類の属性ベースの識別機能を提供する「モノ」を活用する機会が生まれます。 ローカル ドメインの外部では保持されない MAC アドレスではなく、通信交換に埋め込まれ、アクセス ゲートキーパーが正当性を判断するために使用できるその他のデバイス識別属性です。

IoT ゲームに参加する場合、識別しなければならない項目の数を考えると、IoT を設計して実装することが必要になります。

したがって、IoT に参入しようとしている場合 (近日公開予定の「State of Application Delivery 2016」レポートのデータによると、かなりの数の企業が参入しているようです)、アクセスを安全に管理する方法を検討し始めるのに早すぎるということはありません。 それをコンテキストと呼んだり、ABAC と呼んだり、あるいは何か他のものと呼んだりしてください。 しかし、何と呼ぶにせよ、考慮し、行動するのを忘れた何かと呼ばないでください。

*わかりました、認めます。 実のところ、私の学部での副専攻は数学でした。 そこには。 言ってしまいました。