コラム
アクセス制御とは?
仕組みと要素、フレームワークの種類について解説
最終更新日:
アクセス制御とは、企業の情報システムやネットワークで「誰が、どのデータやリソースに、どの条件下でアクセスできるか」を定義し、管理するセキュリティ対策です。
認証(本人確認)、認可(アクセス範囲の決定)、監査(アクセスログ管理)の3つを基盤に、内部不正やサイバー攻撃から情報資産を保護します。
本記事では、アクセス制御の仕組みやメリット、アクセス制御が必要な企業について解説します。クラウド利用やリモートワークの普及により、社外からのアクセスやSaaSアプリケーション利用が増加する中、企業に求められるゼロトラストモデルに基づいたアクセス制御の仕組みを理解しておきましょう。
アクセス制御とは?必要な理由と活用例
境界型セキュリティでは、社内にいるだけでシステム全般にアクセスできるケースが一般的でした。しかし現在は、クラウドサービスや社外からのリモート接続が増え、内部不正やサイバー攻撃のリスクが拡大しています。
アクセス制御を適切に実装すれば、最小限の権限付与によって攻撃被害を抑え、規制対応や内部統制も強化できます。
アクセス制御の活用例
以下に挙げたとおり、アクセス制御はWeb上の本人確認や社内ネットワーク、オフィスのゲートなどで用いられています。
- 社内ネットワークやVPN接続のユーザー認証
- 業務に必要なアプリ、クラウドサービスへのシングルサインオン
- 機密ファイルサーバーやデータベースへのアクセス制御
- 重要施設やサーバールームへの入退室管理
- ゼロトラストネットワークアクセス(ZTNA)によるリモート接続
アクセス制御の仕組みと要素
アクセス制御は本人認証、アクセス認可、監査機能の3つで構成されています。
1.本人認証
ユーザーを識別し、本人である事実を確認する機能です。ユーザーを一意に認識する情報(ユーザーID)のほか、本人しか知らない(持っていない)情報でチェックします。
| 本人認証の方式 | 本人認証の特徴 |
|---|---|
| 固定パスワード | 本人だけしか知らない秘密のパスワード |
| バイオメトリクス認証 | 指紋や網膜、顔などを使った生体認証 |
| クライアント証明書 | ユーザーの身元を証明するデジタル証明書 |
本人認証の多くは固定パスワードが使われていますが、この仕組みだけではIDとパスワードを盗まれただけで容易に突破できてしまいます。身体的特徴を利用したバイオメトリクス認証や認証局(CA)が発行するクライアント証明書であれば、なりすましのリスクを軽減できます。企業のゼロトラストセキュリティ戦略では、必ず多要素認証(MFA)を組み合わせて認証を強化します。
2.アクセス認可
認証済みのユーザーに対して、操作できる範囲を制限する機能です。アクセス制御リスト(ACL:Access Control List)を例にすると、以下のようにアクセスの許可・拒否を行います。
ファイルに対するアクセス認可の場合
| ユーザー名 | ファイル1 | ファイル2 | ファイル3 |
|---|---|---|---|
| ユーザーA | RWー | RーX | RWX |
| ユーザーB | RWー | ーーー | Rーー |
読み出し(Read)・書き込み(Write)・実行(eXecute)・不許可(ー)
上記は、アクセス制御リストのイメージです。ユーザーBはファイル1の読み出しや書き込みができますが、実行はできません。また、ファイル3の場合は読み出しのみ可能です。
ネットワークには常に悪意が潜んでいる(ゼロトラストの考え方)と仮定し、最小権限の原則に基づいて必要最小限のアクセス権をユーザーに付与します。
3.監査機能
本人認証・アクセス認可のログを記録・管理する機能です。いつ・誰が・どの情報にアクセスしたのかのログが残るため、不審なアクセスをいち早く発見できます。
サイバー攻撃に対して速やかに対処ができますが、不正アクセス自体は防げません。
アクセス制御を導入するメリット
アクセス制御の仕組みについて触れましたが、あらためてメリットのおさらいです。
情報漏えいを予防できる
ファイルやデータは関係者しか開けないため、外部からの不正アクセスを防げます。
もし社内ネットワークへ侵入されても、ファイルやデータへのアクセスはできないので、最悪の事態を回避できます。アクセスログを解析し、侵入経路に対してセキュリティ対策をする時間も確保できます。
内部不正の抑制につながる
悪意のあるユーザーは、社外だけとは限りません。
動機はさまざまですが、社外秘をリークして注目されたい、会社に恨みがあってデータを破壊したい、未公開情報を利用して株で稼ぎたい人も中にはいるかもしれません。
管理者が絶対に不正を犯さないとは限りませんが、少なくとも重要なポジションに就いていない従業員による、安易な不正は抑止できます。
ヒューマンエラーを軽減できる
悪意のある不正だけでなく、悪意のないミスも防げるのがメリットです。
例えば、ネットワークの管理表を参照して資料を作るよう新人に頼んだら、うっかり管理表の数字を書き換えられてしまった経験がある人もいるかもしれません。中には、読み出し専用でファイルを開くように指示するだけでは不安な人もいるでしょう。
しかし、新人のアカウントではファイルの読み出しのみを許可すれば、このような間違いを防ぎ、ヒューマンエラーの発生を減らせます。
総合セキュリティ対策なら
パロアルトネットワークス
アクセス制御には、情報漏えいや内部不正を防ぐ効果があります。しかし、日々進化するサイバー攻撃に対して企業が対抗するためには、アクセス制御だけでは不十分です。
あらゆる事態を想定した総合セキュリティ対策には、パロアルトネットワークスのソリューションをご活用いただけます。パロアルトネットワークスは、カリフォルニア州サンタクララに本社がある従業員数1万5000人規模のセキュリティベンダーです。
「私たちのデジタルライフを守る、選ばれるサイバーセキュリティパートナーになること。」を合い言葉に、全世界で8万以上の企業様から評価をいただいています。
まとめ
アクセス制御は、アクセスできるユーザーを制限する機能です。ユーザーを識別する本人認証、操作できる範囲を制限するアクセス認可、ログを記録する監査機能の3つで構成されています。データやファイルへのアクセスを制限することで不正利用を防ぎます。
しかし、アクセス制御だけでは不十分で、システムやアプリケーションの脆弱性を悪用した攻撃には対応できません。企業はアクセス制御だけでなく、多層的なセキュリティ対策が求められます。
この記事の執筆者
