用語集

ACL

1. リソースの ACL プロパティは、リソースへのアクセス権限が付与されているアクセサと、付与されるアクセス権のタイプ（読み取りなど）を定義する、アクセス制御リストです。 2. アクセス制御リストの省略形。

ACROOT

ACROOT は、ルート Windows レジストリキーへマッピングするために CA Access Control 管理ユーティティ（selang など）が使用する一意の識別子です。CA Access Control は、このルートキーの下に環境設定を格納します。 CA Access Control の Windows レジストリエントリを参照してください。

Audit Only モード

Audit Only モードは、アクセスルールをチェックしたり適用したりせずに、インターセプトされたすべてのイベントを記録します。

CA Business Intelligence

CA Business Intelligence は、レポーティングおよび分析ソフトウェアのセットです。情報の提示およびビジネス意思決定をサポートするために、さまざまな CA 製品により使用されます。 CA Business Intelligence には、パフォーマンス管理、情報管理、レポート、クエリ、および解析用の各ツールからなる完全なスイートである [assign the value for boe in your book] が含まれています。

CALACL

リソースの CALACL プロパティは、アクセス制御リストです。これにより、Unicenter TNG カレンダ内で定義されているアクセサのステータスに従って、リソースへのアクセスが許可されているアクセサ、および許可されているアクセス権のタイプ（書き込み権限など）が定義されます。 ACL、NACL、PACL も参照してください。

certificate

公開鍵インフラストラクチャ暗号化において、デジタル証明書とは、証明書上の名前（所有者）が証明書内の公開鍵に結び付けられていることを示す電子的なドキュメントです。証明書は、認証局のデジタル署名、または証明書の所有者自身のデジタル署名で署名されます。証明書の所有者自身のデジタル署名で署名された証明書のことを、自己署名証明書と言います。

cron 式

cron 式 とは、空白で区切られた一連のフィールドで、スケジュールの定義に使用されます。 cron 式は、UNIX の cron ジョブで頻繁に使用されます。

FIPS

FIPS 140-2（暗号化モジュールに関するセキュリティ要件）は、取扱注意ではあるが機密扱いでない情報を取り扱う組織向けの、ソフトウェア内の暗号化モジュールに関する米国政府認定プログラムです。認証は、NIST（National Institute of Standards and Technology）の管理下で行われています。

Full Enforcement モード

Full Enforcement モードは、CA Access Control の通常の操作モードです。このモードでは、CA Access Control はイベントをインターセプトし、データベース記録の際にアクセスルールを適用します。

group

グループは、ユーザの集合です。グループでは、グループ内のすべてのユーザに適用する共通のアクセスルールを定義します。グループはネストする（他のグループに属する）こともできます。 CA Access Control は、CA Access Control データベースのグループ情報とエンタープライズユーザストアのグループ情報を使用できます。

HIPAA（Health Insurance Portability and Accountability Act、医療保険の相互運用性と説明責任に関する法律）

HIPAA は、労働者が転職または失業した際にも健康保険を利用できるように保護する米国連邦法です。 HIPAA はまた、保健医療関連のデータのセキュリティおよびプライバシーにも対処しています。

NACL

リソースの NACL プロパティは、リソースへのアクセス権限が拒否されるアクセサを、拒否されるアクセスタイプ（write など）と共に定義するアクセス制御リストです。 ACL、CALACL、PACL も参照してください。

No Interception モード

No Interception モードは、CA Access Control のイベントのインターセプトを無効にします。このモードでは、CA Access Control はイベントをインターセプトせず、アクセスルールも適用しません。

PACL

リソースの PACL プロパティは、アクセス制御リストです。リストの各エントリでは、アクセサ、アクセサに許可するリソースへのアクセスのタイプ、およびアクセサがリソースにアクセスするときに使用する必要があるプログラムの名前を指定します。プログラム名にはワイルドカード文字を使用できます。 ACL、CALACL、NACL も参照してください。

PCI DSS（Payment Card Industry Data Security Standards、ペイメントカード業界データセキュリティ標準）

PCI DSS は、詐欺やハッキングなどのセキュリティに関する問題の発生を防止する目的で、大手クレジットカード会社によって策定された業界標準です。クレジットカードやデビットカードのデータの受け付け、記録、保存、送信、または処理を行う企業は、PCI DSS に準拠する必要があります。

PKI

「公開鍵インフラストラクチャ」を参照してください。

PMDB

「Policy Model データベース」を参照してください。

PMDROOT@<pmd_name>

PMDROOT@<pmd_name> は、ルート Windows レジストリキーへマッピングするために CA Access Control 管理ユーティティ（selang など）が使用する一意の識別子です。CA Access Control は、pmd_name Policy Model の環境設定をこのルートキーの下に格納します。キーは HKEY_LOCAL_MACHINE¥Software¥ComputerAssociates¥AccessControl¥PMD¥pmd_name です。

Policy Model データベース（PMDB）

Policy Model データベース（PMDB）はスタンドアロンの CA Access Control データベースで、特定のホストシステムに関連付けられている CA Access Control データベースと同じタイプのルールを保持します。マスタ PMDB にルールを適用すると、そのルールは、マスタ PMDB に対して定義されたすべてのサブスクライバデータベースに伝達されます。

Program Pathing

Program Pathing は、ファイルにアクセスするには特定のプログラムを介さなければならないことを要求する、ファイルに関連するアクセスルールです。 Program Pathing により、機密ファイルのセキュリティを大幅に強化できます。 CA Access Control の Program Pathing を使用すると、システム内のファイルに対する保護を強化できます。

ruler

ルーラは、表示されるプロパティのリストです。各クラスにはルーラが 1 つあります。ルーラがクラスに定義されていると、レコードのプロパティ値のリストを要求すると（selang の show コマンドを使用するなどして）、デフォルトで、ルーラに定義されているプロパティのみ表示されます。

SEOSDRV

SEOSDRV は、ルート Windows ドライバレジストリキーへマッピングするために CA Access Control 管理ユーティリティ（selang など）が使用する一意の識別子です。

SHA-1

SHA-1 は、FIPS 準拠の暗号化ハッシュ関数で、160 ビット出力を生成します。 SSL/TLS で使用されており、Windows の CA Access Control ではパスワードの暗号化に使用されています。

SOX（Sarbanes-Oxley Act、サーベンスオクスリー法）

SOX は、財務報告の基準を規定した米国連邦法です。この法律は、すべての米国公開企業の役員会に適用されます。

SSL

SSL とは、TCP/IP で接続されているプログラム間の安全な通信を実現するプロトコルです。 SSL は Secure Sockets Layer の略です。通常、SSL という用語を使用する場合は、TLS も含まれます。TLS は SSL 3.1 と呼ばれることもあります。

surrogate

サロゲートとは、他のユーザの代わりにアクションを実行するアクセサです。一般に、サロゲートには、元のユーザが所有していないアクセス権限が必要です。

Windows サービス

Windows サービスは Windows のバックグラウンドで実行されるプログラムであり、UNIX におけるデーモンと同等の機能を果たします。

Windows レジストリエントリ

CA Access Control の Windows レジストリエントリは、Windows ホスト上での CA Access Control の動作と機能を制御します。 CA Access Control は、レジストリキー HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl の下に、レジストリエントリを作成します。

アクセサ

アクセサとは、リソースにアクセスできるエンティティのことです。最も一般的なアクセサタイプはユーザまたはグループです。つまり、アクセス権限の割り当ておよびチェックの対象となるユーザです。プログラムがリソースにアクセスする際には、プログラムの所有者（ユーザまたはグループ）が「アクセサ」となります。

アクセス権限

アクセス権限とは、リソース上で指定されたアクセスを実行するためにアクセサが所有する許可のことです。

アクセスルール

アクセスルールとは、アクセサにリソースへのアクセス権があるかどうかを示すルールです。アクセスルールの最も一般的な形式は、アクセス制御リスト（ACL）のエントリです。

アクセス制御リスト（ACL）

アクセス制御リスト（ACL）とは、アクセサと、そのアクセサに付与されている特定のリソースへのアクセス権のリストです。アクセス制御リストは、リソースレコードのプロパティになります。 ACL、NACL、PACL も参照してください。

アクティブ

アクティブなクラスとは、そのクラスのリソースへのアクセス試行がある場合に必ず CA Access Control が権限をチェックするクラスです。クラスがアクティブでない場合、CA Access Control によるチェックは行われず、アクセスが許可されます。リソースクラスの状態は手動でアクティブまたは非アクティブに設定できます。

インターセプトイベント

インターセプトイベントとは、CA Access Control に初めて出現し、カーネルキャッシュに認証または監査に関する情報が格納されていないイベントです。

エンタープライズグループ

エンタープライズグループとは、オペレーティングシステムのエンタープライズユーザストアの 1 つに定義されているグループ（たとえば、UNIX の /etc/group や、Windows の Active Directory で定義されているグループ）です。

エンタープライズユーザ

エンタープライズユーザとは、オペレーティングシステムのエンタープライズユーザストアの 1 つに定義されているユーザ（たとえば、UNIX の /etc/passwd や、Windows の Active Directory で定義されているユーザ）です。

エンタープライズユーザストア

エンタープライズユーザストアとは、ユーザやグループが格納されているオペレーティングシステム内のストア（たとえば、UNIX システムの /etc/passwd や /etc/groups、Windows の Active Directory など）です。

カーネルモジュール

カーネルモジュールは UNIX オペレーティングシステムのコンポーネントです。実行中のカーネルにロードすることで拡張を行い、不要になったときにはアンロードすることができます。これにより、ベースカーネルの通常機能全般をカバーするうえで必要なメモリリソースを無駄にせず、必要に応じて機能をロードするという柔軟性が実現します。

仮想環境設定ファイル

仮想環境設定ファイルには、Policy Model のサブスクライバ用の設定値が含まれています。

監査イベント

監査イベントとは、カーネルキャッシュに監査処理に必要な情報が十分あるイベントです。監査イベントは、「キャッシュインターセプトイベント」とも呼ばれます。監査イベントは、キャッシュされたインターセプトイベントの結果です。

クラス

CA Access Control では、レコードに割り当てることのできるプロパティはレコードのクラスによって定義されます。 1 つのクラス内のすべてのレコードに、同じプロパティが割り当てられます。ただし、これらのプロパティの値は異なります。

警告モード

警告モードとは、リソースに適用できるプロパティであると同時に、クラスに適用できるオプションです。警告モードがリソースまたはクラスに適用されている場合にアクセスルールのアクセス違反が発生すると、CA Access Control は、リターンコード W を付けて監査ログにエントリを記録しますが、リソースへのアクセスは許可されます。クラスが警告モードの場合は、そのクラス内のすべてのリソースが警告モードになります。

公開鍵

公開鍵とは、非対称暗号化鍵のペアの一方です。鍵ペアのいずれか一方の鍵でテキストを暗号化し、もう一方の鍵でそのテキストを復号化することができます。鍵ペアの所有者は、秘密鍵を保持し、公開鍵を公開します。

公開鍵インフラストラクチャ（PKI）

公開鍵インフラストラクチャ（PKI）とは、公開鍵と、信頼できる認証局から発行された証明書を使用して、コンピュータ間の安全な認証を実現するテクノロジおよびその一連の処理を意味します。

サービスアカウント

サービスアカウントは、Windows サービスによって使用される内部アカウントです。これらのサービスによって、コアオペレーティングシステムおよびその他の機能がコンピュータに提供されます。

署名

公開鍵インフラストラクチャで、デジタル署名とは、メッセージおよび署名者に関連付けられた、暗号化されたテキストのブロックです。署名者は、秘密鍵とメッセージを使用して署名を作成します。署名者の公開鍵を入手して、メッセージの読み取り側は、署名者が実際にメッセージに署名したこと、およびそのメッセージが署名後に変更されていないことを確認できます。一般的に、このメッセージは証明書です。

セキュリティカテゴリ

セキュリティカテゴリは、CATEGORY クラスにあるレコードの名前です。セキュリティカテゴリは、アクセサとリソースに割り当てることができます。リソースに割り当てられているすべてのセキュリティカテゴリにアクセサが割り当てられている場合のみ、そのアクセサはリソースにアクセスできます。

セキュリティ識別子（SID）

セキュリティ識別子（SID）とは、オペレーティングシステムに対してユーザまたはグループを識別する数値です。システムアクセス制御リスト（DACL）の各エントリは SID を持っていて、これによって、アクセスを許可、拒否、または監査するユーザまたはグループを識別します。

セキュリティラベル

セキュリティラベルは、SECLABEL クラスにあるレコードの名前です。セキュリティラベルによって、セキュリティラベルと複数のセキュリティカテゴリを 1 つにまとめることができます。セキュリティラベルをアクセサまたはリソースに割り当てると、そのセキュリティラベルに関連付けられたセキュリティレベルとセキュリティカテゴリの組み合わせが、アクセサまたはリソースに設定されます。セキュリティラベルは、アクセサまたはリソースに設定された特定のセキュリティレベルおよびセキュリティカテゴリよりも優先されます。

セキュリティレベル

セキュリティレベルは、ユーザおよびリソースに割り当てることのできる 0 から 255 までの整数です。リソースのアクセス制御リストでユーザにアクセス権限が付与されていても、アクセサのセキュリティレベルがリソースのセキュリティレベルより低い場合、そのアクセサはそのリソースにアクセスできません。

中央データベース

中央データベースは、レポートなどの CA Access Control エンタープライズ管理機能の情報を保持するリレーショナルデータベース管理システム（RDBMS）です。さまざまなツールを使用することで、データベースに格納された CA Access Control 実装に関するデータを問い合わせて取得できます。

同時ログイン

同時ログインとは、1 人のユーザが複数の端末から同時に 1 つのシステムにログインして開始した複数のセッションのことです。

特権アカウント

特権アカウントは、個々のアカウントに割り当てられず、ミッションクリティカルなデータおよびプロセスにアクセス可能なアカウントです。システム管理者は特権アカウントを使用して、ターゲットエンドポイント上で管理者タスクを実行します。特権アカウントは、ユーザが操作しなくても処理が進むように、サービスファイル、スクリプト、環境設定ファイルに埋め込まれています。。

内部ユーザ

内部ユーザとは、エンタープライズユーザと異なり、CA Access Control 独自のデータベースに定義されている CA Access Control ユーザです。

認証局（CA）

公開鍵インフラストラクチャにおいて、認証局（CA）とは、別の組織が使用するデジタル証明書に署名を追加する組織です。「別の組織」とは、証明書の所有者です。

パスワードコンシューマ

パスワードコンシューマは、PUPM 統合を使用して特権アカウントパスワードを取得し、スクリプトの実行、データベースへの接続、または Windows サービスの管理を行うアプリケーションサーバ、データベース、および Windows サービスです。パスワードコンシューマでは、プログラムとサービスの実行に、特権アカウントとサービスアカウントの両方が使用されます。

パスワードポリシー

特権アカウントのパスワードポリシーは、許容可能な特権アカウントパスワードを決定するルールおよび制限事項のセットです。また、パスワードポリシーにより、CA Access Control エンタープライズ管理によりアカウントの新規パスワードが自動的に作成される間隔が決定されます。

プロパティ

レコードのプロパティは、データベース内にあるそのレコードのフィールドの名前に対応します。

プロファイルグループ

プロファイルグループは、ユーザプロパティのデフォルト値が収められている、CA Access Control データベースに定義されるグループです。ユーザをプロファイルグループに割り当てた場合、そのユーザにすでに値が設定されていない限り、プロファイルグループはそのデフォルト値をユーザに提供します。

ユーザ

ユーザとは、ログインできる人、またはバッチおよびデーモンプログラムの所有者すべてを指します。 CA Access Control では、アクセス試行のすべてがユーザによって実行されます。 CA Access Control は、CA Access Control データベースのユーザ情報とエンタープライズユーザストアのユーザ情報を使用できます。ユーザ情報は、データベースの USER レコードまたは XUSER レコードのいずれかに格納されます。

リソース

リソースとは、アクセサがアクセスでき、アクセスルールによって保護されるエンティティ、またはそのエンティティに対応する CA Access Control データベースレコードです。リソースの例には、ファイル、プログラム、ホスト、端末などがあります。

リソースグループ

リソースグループは、その他のリソースから成るリストを含むリソースです。リソースグループとは、CONTAINER、GFILE、GSUDO、GTERMINAL、または GHOST のいずれかのクラスのメンバです。

累積グループ権限（ACCGRR）

累積グループ権限オプション（ACCGRR）では、CA Access Control がリソースの ACL をチェックする方法を制御します。 ACCGRR が有効な場合、CA Access Control は、ACL で、ユーザが属するすべてのグループで許可されている権限をチェックします。 ACCGRR が無効な場合、CA Access Control は、ACL で適用可能なエントリのいずれかに値 none が含まれているかどうかをチェックします。 none が含まれている場合、アクセスは拒否されます。 none が含まれていない場合、CA Access Control は、ACL 内の最初の適用可能なグループエントリを除くすべてのグループエントリを無視します。

レコード

CA Access Control において、レコードとは CA Access Control データベースのレコードのことです。レコードは、1 つの名前と多数のプロパティで構成され、クラスに属します。このクラスによって、CA Access Control でそのレコードがどのように使用されるかが決まります。レコードは、リソースまたはアクセサのいずれかです。

レポートエージェント

レポートエージェント は、CA Access Control または [assign the value for unab in your book] の各エンドポイント上で実行される Windows サービスまたは UNIX デーモンで、配布サーバ上にある設定されたメッセージキューのキューに情報を送信します。

レポートポータル

レポートポータルは、CA Access Control レポートを提供するアプリケーションサーバです。このサーバでは、BusinessObjects InfoView ポータルを使用することで、中央データベースに格納されたレポート情報を対話式で操作できるようにしています。

論理ホストグループ

論理ホストグループとは、そのメンバがエンドポイント（HNODE オブジェクト）となるグループリソース（クラス GHNODE）のことです。論理ホストグループを使用すると、ポリシーを管理する目的で作成された 1 つまたは複数のホストをグループ単位で表すことができます。

論理ユーザ

論理ユーザは、レコードに適用されている LOGICAL 属性のユーザまたは trusted プログラム（SPECIALPGM リソース）を実行するサロゲートです。論理ユーザはログインすることができず、内部の CA Access Control の目的にのみ使用されます。

ワイルドカード文字

CA Access Control は、一部の名前についてワイルドカード 文字を認識します。その場合、CA Access Control が認識するワイルドカードは * および ? です。 * 文字は、文字なしを含め、任意の数の任意の文字を表します。 ? 文字は、任意の文字の 1 つのインスタンスを表します。

このトピックについて CA Technologies に電子メールを送信する