アクセス制御とは? 機能や方式、制御システム導入時の考え方を解説
「誰が、どの情報にアクセスできるのか」は、情報セキュリティを考える上で重要な要素です。情報は、今や企業の持つ重要な資産です。適切に管理し、守っていかなければなりません。アクセス制御の機能や方式を知り、適切にコントロールしていきましょう。
ここでは、アクセス制御の基本と、実際に制御を行う際の考え方や、制御システム導入時のポイントについて解説します。
アクセス制御とはデータやネットワークにアクセスできるユーザーを制御・管理すること
アクセス制御とは、ある特定のデータやネットワークについて、アクセスできるユーザーを制御・管理することです。
例えば、個人のSNSのアカウントにログインするためには、IDとパスワードの入力が求められます。これも、アクセス制御の1つです。アクセス制御を行うことで、意図しない他人がデータやネットワークに入り込んでしまうことを防げます。
企業でも同様に、下記のような様々なアクセス制御が行われています。
- アクセス制御の例
-
- 特定のチームメンバーだけが利用できるチャットシステム
- 特定の業務に従事しているスタッフだけがアクセスできるマニュアル
- 従業員は誰でも申請できるが、管理者しか承認できない経費精算システム
これらはすべて、アクセス制御に該当します。アクセス制御がされていなかったら、誰でも業務外の情報にアクセスできてしまいます。自由にアクセスし操作できてしまうことで、予期せぬトラブルやデータの改変が起こる可能性もあるでしょう。
アクセス制御によって操作範囲やアクセスできる人間を限定することは、混乱を防いでスムーズに業務を進めるためにも役立ちます。
アクセス制御が必要な理由
アクセス制御は、主に下記のような目的で行います。
- アクセス制御の目的
-
- 不正アクセスによる情報漏洩を防ぐ
- 不正アクセスによる情報改ざんを防ぐ
- 意図しない者が情報を閲覧してしまうリスクを防ぐ
誰もが自由にすべてのデータにアクセスできる状態では、情報資産は守れません。企業には、社外秘の情報も、部外秘の情報も数多くあります。これらの情報が、意図した相手以外に見られたり操作されたりすることがないように、アクセス制御を行います。
このように、アクセス制御は社外に対する制限だけでなく、社内においても重要です。例えば、経理部や総務部以外の従業員が、別の従業員の給与データにアクセスできてしまっては問題があります。そのようなことが起こらないよう、適切なアクセス制御を行う必要があるのです。
また、アクセス制御にはログの管理も含まれます。誰が、いつ、どの情報にアクセスしたかがわかれば、情報を不正利用していないかどうかの確認ができます。万一、問題のある操作が行われた際も、ログ管理が行われていれば原因の早期特定につながるでしょう。
ログ管理について詳しくは、上記の記事をご参照ください。
アクセス制御の3つの機能
アクセス制御は、「認証」「認可」「監査」という機能によって行われます。それぞれの機能は単体で使うだけでなく、併用することも可能です。3つの機能には下記のような違いがありますので、それを踏まえて活用していきましょう。
認証
認証とは、アクセスできるユーザーかどうかの確認を行うアクセス制御のことです。下記のようなアクセス制御は、すべて認証に該当します。
- 認証に該当するアクセス制御の例
-
- IDとパスワードを入力してログインするマイページやSNS
- PINコードを入力することでアクセスできるシステム
- システムの操作を行うためのSMS認証
- 指紋認証や顔認証などの生体認証システム
認証は、個人が利用するサービスでも企業活動でも、幅広く活用されているシステムです。ただし、アクセスしてよいユーザーかどうかを判断する条件が簡単なものだと、アクセス制御を突破されてしまう可能性があります。
例えば、IDとパスワードだけの認証では、それらが流出しただけで不正アクセスを許してしまうことになるのです。こうした危険を防ぐために、IDとパスワードにSMS認証や生体認証を組み合わせて、二重、三重のアクセス制御を行うケースもあります。
とはいえ、アクセス制御を厳しくすれば、その分アクセスに時間がかかり、利便性が損なわれます。利便性とセキュリティのバランスを考えることが大切です。
認可
認可は、あらかじめ定められた条件を満たすユーザーだけが、情報やシステムにアクセスできるようにすることです。例えば、「総務部所属、社員番号◯◯に対してアクセス権限を付与する」といったケースが該当します。
また、アクセスの可否に加えて、何ができるかを決めることもできます。「総務部所属、社員番号◯◯は閲覧のみ可能」「総務部長、社員番号××は閲覧と編集が可能」といったように、それぞれの権限を設定して利用を制限できるのです。
監査
監査とは、認証や認可によるアクセス制御のログを、保存・管理することです。アクセスそのものを制御する方法ではありませんが、ログを確認することでアクセス制御が正しく行われているかどうかを確認できます。
認証や認可によるアクセス制御を行ったとしても、それが完全に機能しているかどうかはわかりません。隙をついて不正アクセスが行われていないかどうかを確認し、万一の際には早急に発見・対処するためには、監査という機能が必須です。
アクセス制御の3つの方式
アクセス制御は、誰がどのように設定を行うかという観点から、3つの方式に分けられます。それぞれの方式には異なる特徴とメリットがあるため、一概にどれが優れていると断言することはできません。管理する情報の内容に合わせて選択する必要があるため、3つの方式の内容を詳しく確認していきましょう。
任意アクセス制御(DAC)
任意アクセス制御(DAC)は、ファイルを作成したユーザー自身がアクセス制御を行う方法です。
例えば、自身が作成したファイルについて、「自分以外の編集は認めないが、チームメンバーの閲覧は認める」「自分と直属の部下◯◯さん以外の閲覧を認めない」といった権限を付与することができます。
また、「自分自身が作成したファイルについて、自分が自由に閲覧、変更、削除できる」というのも、任意アクセス制御に該当します。これは、「作成者がアクセス制御を行い、作成者自身に権限を与えた」からできることです。
任意アクセス制御は、一般的に広く活用されている便利な方法です。ただし、一人ひとりのユーザーにアクセス制御を任せることになるため、セキュリティ性は高くありません。
強制アクセス制御(MAC)
任意アクセス制御がユーザーにアクセス制御を任せる方法であるのに対し、強制アクセス制御(MAC)は、管理者のみがアクセス制御を行える方法です。
強制アクセス制御では、事前に想定したアクセス以外のすべてが拒否されます。非常に高いセキュリティ性能を持ちますが、その一方で、アクセス権限の変更を行えるのが管理者のみとなり、データの作成者でも権限変更は行えないため、融通がききづらいのが難点です。
ロールベースアクセス制御(RBAC)
任意アクセス制御と強制アクセス制御の中間程度のセキュリティレベルを持つ制御方法が、ロールベースアクセス制御(RBAC)です。
これは、それぞれのユーザーの役割に応じて権限を設定する方法で、部署ごとや役職ごとにアクセスできる情報を制御します。「営業部のみ閲覧・編集可能な顧客リスト」「課長職以上が閲覧できる管理マニュアル」などが該当します。
アクセス制御システムを企業に導入する際のポイント
企業のアクセス制御では、それぞれの部署が扱う情報やシステムに応じて、どの程度の制御を設定するべきかを決める必要があります。
最初に、どの制御方式を利用するのか、どのような基準で権限を付与するのかを検討することが必要です。その際には、業務効率とセキュリティのバランスがとれた、適切なアクセス制御を設定することが大切です。
管理する対象の範囲、不正アクセス検知時の対応なども考慮して、自社の業務に合ったシステムを選びましょう。
アクセス制御システムで管理業務を効率化しよう
企業の情報を守り、不正な操作を防ぐためには、適切なアクセス制御が必要不可欠です。自社の各部署で、業務内容に適したアクセス制御を行っているかどうか、あらためて確認することから始めるのがお勧めです。
認証、認可、監査という3つの機能を適切に組み合わせて、堅牢な管理体制を作り、様々なリスクに備えましょう。
「MaLion」シリーズのファイルアクセス監視では、各種ファイルの操作状況(読み込み、書き込み、移動、コピー、名称変更、削除)を監視することができます。セキュリティポリシーに反する操作に対しては、実行を制限するとともに、不正アクセス者に対する警告の表示が可能です。セキュリティレベルの向上に、ぜひ「MaLion」シリーズをご活用ください。
