( 1 ) アクセス制御とは?
アクセス制御はアクセスコントロールともいい、コンピュータやネットワークに特定のユーザーだけがアクセスできるように制御する機能を指します。アクセス制御を行うことで、正規に承認されたアクセス権限があるユーザーのみが、情報を操作できるようになります。
また、ユーザーだけでなく、登録されていないパソコンなどの端末でアクセスした場合にも、ネットワーク上での操作の制限や、アクセス自体をブロックすることができます。
アクセス制御を行うことで、コンピュータやネットワークのセキュリティを強化し、情報漏洩やデータの改ざんなどを防ぎます。
( 2 ) アクセス制御の機能
アクセス制御には「認証」「認可」「監査」という3つの機能があります。ここでは、それぞれの機能について紹介します。
- 認証
コンピュータにログインが可能なユーザーかどうかを識別する機能です。ログインが可能な権限を与えられたユーザーだけがネットワークやデータにアクセスでき、操作を行うことが許可されます。ID・パスワードを使用するものが多く用いられていますが、この他にも電子証明書を用いた認証、指紋や網膜などを使用する生体認証も一般的となってきています。
- 認可
あらかじめ設定された条件(ACL:アクセスコントロールリスト)に合致したユーザーにのみアクセスを許可する機能です。ACLにはさまざまな条件を設定することができ、ユーザーによって「データの閲覧のみが可能」「追加や変更が可能」など、権限の幅を変えることも可能です。不用意な情報の持ち出しや改ざんなどを防ぐ対策として有効です。
- 監査
認証や認可によるアクセス履歴をログとして保存し管理する機能です。過去のデータを分析することで不正アクセスなどが起きていないかを検証し、改善することによってアクセス制御の精度を高めることができます。また、不正アクセスが起きた際にも、ログを確認することで痕跡や攻撃者の特定、原因の究明や事後の対策などに役立ちます。
( 3 ) アクセス制御方式の種類(モデル)
実際にアクセスを制御する方式は主に3つの種類があります。
- 任意アクセス制御(DAC: Discretionary Access Control)
最も一般的な方式で、企業でも多く採用されている方式です。各ユーザーがデータの読み取りや書き込み、実行の権限を持ち、アクセス制御を自由に設定することができます。管理者の手間がかからず、ユーザーごとの柔軟な対応が可能である反面、ルールの統一化が難しいためセキュリティの面では効果が低く、重要性の高いデータのアクセス制御には不向きです。
- 強制アクセス制御(MAC: Mandatory Access Control)
管理者がルールを設定し一元管理する方式です。管理者以外のユーザーにはルールの設定や変更はできないため、任意アクセス制御よりセキュリティ強度が高くなります。アクセスするユーザーとシステムの双方にセキュリティを設定し、レベル差を比較することでアクセス制限を実行する仕組みです。細かな設定が難しいため、汎用的な運用には適していません。
- 役割ベースアクセス制限(RBAC: Role-Based Access Control)
ユーザーの役割に応じてアクセスできる範囲や利用できる機能の権限を設定する方式です。業務に必要な権限が設定されるため、許可されている範囲外のアクセスはできません。部署やプロジェクトチームごとに権限が設定され、業務効率化とセキュリティ強化の両立を図ることができます。なお、役割ベースアクセス権限に似た方式に、「属性ベースアクセス制御」があります。こちらは特定のIPアドレスや一定の時間帯などの属性によって、役割よりもさらに細かな制御が可能です。
アクセス制御の導入に関しては、自社の状況やシステムなどを踏まえたうえで、方式や権限の設定基準、運用ルールなどを十分に検討する必要があります。適切なアクセス制限の設定により、不正アクセスや内部不正のリスクを軽減することが可能となります。
