Windows エンドポイント管理ガイド › エンドポイントの管理 › CA Access Control とは何か › 保護の対象

保護の対象

CA Access Control は、以下のエンティティを保護します。

• ［ファイル］

  特定のファイルにアクセスする権限があるか?

  CA Access Control は、ファイルへのユーザのアクセスを制限します。 ユーザに対して、READ、WRITE、EXECUTE、DELETE、RENAME などのアクセス権限を 1 種類以上与えることができます。 アクセス権限は、個々のファイルに対して、または類似した名前を持つファイルの集合に対して指定できます。

• 端末

  特定の端末を使用する権限があるか?

  このチェックは、ログイン プロセスで行われます。 CA Access Control データベースに個々の端末または端末グループを定義し、アクセス ルールにより、その端末または端末グループの使用を許可されているユーザまたはユーザ グループを指定できます。 端末を保護することによって、強力な権限を持つユーザ アカウントのログインに未許可の端末が使用されることを確実に防止します。

• ログイン時間

  ユーザには、特定の曜日の特定の時間にログインする権限があるか?

  通常、エンド ユーザは平日の勤務時間帯にのみ端末を使用します。そのため、平日の曜日と時間帯によるログイン制限、および休日のアクセス制限を行うことによって、ハッカーやその他の無許可のアクセサから端末を保護できます。

• TCP/IP

  相手の端末には、ローカル コンピュータから TCP/IP サービスを受け取る権限があるか? 相手の端末には、ローカル コンピュータに TCP/IP サービスを供給する権限があるか? 相手の端末は、ローカル端末のすべてのユーザからサービスを受け取ることを許可されているか?

  オープン システムの長所は、コンピュータとネットワークの両方がオープンであるという点ですが、これは同時に短所でもあります。 いったんコンピュータが外部に接続されると、故意または過失により、外部ユーザがシステムに侵入したり、そのユーザが行った行為が損害をもたらしたりする危険が発生します。 CA Access Control には、「ファイアウォール」が用意されており、ローカルの端末やサーバが不特定の端末へサービスを提供することを防止します。

• 複数ログイン権限

  ユーザは他の端末からログインできるか?

  同時ログインとは、ユーザが複数の端末からシステムにログインできることを意味します。 CA Access Controlでは、1 人のユーザが複数の端末から同時にログインすることを防止できます。 これにより、すでにログインしているユーザのアカウントで外部からの侵入者がログインすることを防止できます。

• ユーザ定義エンティティ

  標準エンティティ（TCP/IP サービスや端末など）および機能エンティティ（トランザクションの実行やデータベース内のレコードへのアクセスなどの抽象オブジェクト）の両方を定義して保護できます。

• 管理者権限

  CA Access Control には、管理者権限をオペレータに委任する方法、および管理者権限自体を制限する方法が用意されています。

• レジストリ キー

  ユーザには、特定のレジストリ キーにアクセスする権限があるか?

  CA Access Control は、レジストリ キーへのユーザのアクセスを制限します。 ユーザに対して、READ、WRITE、DELETE などのアクセス権限を 1 種類以上与えることができます。 アクセス権限は、個々のレジストリ キーに対して、または類似した名前を持つレジストリ キーの集合に対して指定できます。

• プログラム

  特定のプログラムを信頼できるか? ユーザには、このプログラムを起動する権限があるか? ユーザは、プログラムを使用して、特定のリソースにアクセスできるか?

  セキュリティ管理者は、プログラムをテストして、これらのプログラムに、アクセス権の不正取得に利用される可能性があるセキュリティ ホールがないことを確認できます。 テストで安全とみなされたプログラムは、trusted プログラムとして定義されます。 CA Access Control の自己防衛機能モジュール（Watchdog ともいう）は、ある特定の時点で制御の対象になっているプログラムを認識し、そのプログラムが、trusted と分類された後に変更または移動されたかどうかをチェックします。 trusted プログラムが変更または移動された場合、その時点で trusted とはみなされなくなり、CA Access Control はプログラムの実行を許可しません。

さらに、CA Access Control では、以下のような作為的または偶発的な脅威に対して防御を行います。

• 強制終了

  CA Access Control では、重要なサーバやサービス、またはデーモンを強制終了から保護できます。

• パスワード攻撃

  CA Access Control はさまざまなタイプのパスワード攻撃からパスワードを保護します。サイトのパスワード定義ポリシーを適用し、パスワードの盗用による侵入を検知します。

• 不適切なパスワード

  CA Access Control のポリシーでは、十分な品質のパスワードを作成して使用することをユーザに強制するルールが定義されます。 CA Access Control では、ユーザが基準に合ったパスワードを作成して使用することを確実にするために、最長および最短のパスワード有効期限の設定、特定の語句の使用制限、文字の繰り返しの禁止、およびその他の制限事項の適用を行うことができます。 パスワードを長期間継続して使用することは認められません。

• アカウント管理

  CA Access Control のポリシーによって、休止状態のアカウントの適切な処理が保証されます。