こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
アクセス制御は、情報セキュリティ強化に効果的な対策のひとつです。これは、情報を扱う多くのシステムに搭載されている機能。情報を守るため、多くの企業が実際に活用しています。
今回は、外部からだけでなく内部の脅威からも情報を保護できるアクセス制御について詳しくご紹介します。
「社員の職種レイヤーごとにアクセス権限をわけたい」「退職者が自社の共有アカウントにログインできないようにアクセス制御したい」といった方には下記の資料がおすすめです。
『企業向けパスワード管理ツール14選|比較表』【資料をメールで受け取る】
アクセス制御とは
ネットワークやデバイス、データ等にアクセス可能なユーザーに制限をかける機能を、「アクセス制御」および「アクセスコントロール」と呼びます。
これを活用すれば、承認を受けたユーザーだけがネットワークやデバイスにアクセスできる状態を作り出し、それ以外のアクセスを拒否することができます。この技術は部外者による不正アクセスのリスク回避に有効で、活用することで情報管理の安全性は向上します。
アクセス制御は、社外の人に限らず、社内の従業員にも適用されます。例えば、「機密情報を見られるのは管理職だけに限定する」「プロジェクトデータへのアクセスは当該プロジェクトの関係者だけに許可する」等。
こうして、情報の性質に応じてアクセス権限を細かくコントロールすることで、情報漏洩や改ざん等のリスクを低減させられるのが、アクセス制御の特徴です。
アクセス制御の必要性
アクセス制御は、「外部からの攻撃を防ぐため」また「内部不正を防ぐため」に必要な機能です。それぞれの点から見た必要性について詳しく見ていきましょう。
外部からの攻撃を防ぐため
近年サイバー攻撃は巧妙化し、悪意のある第三者がさまざまな手口でネットワークやデータにアクセスしてくる被害が増加しています。一度アクセスを許せば、不正操作や情報改ざん、漏洩等、企業は大きな被害を受けるでしょう。
アクセス制御は、こういった外部からの攻撃防止に効果的です。「予め決めておいた限られた人だけのアクセスを許し、それ以外を拒否する」状態を整備しておけば、部外者である第三者の侵入を防ぐことができるためです。
またこの機能では、アクセス時の認証を多重にすることで、セキュリティ強度を高めたりログを監視したりすることもできます。ログの監視は、なりすましや乗っ取りによるアクセス対策にも有効です。
内部不正を防ぐため
情報リスクは、外部からの攻撃に限りません。内部不正による被害も多く発生しています。
アクセス制御は、内部不正への備えとしても効果的です。ログ監視機能で「誰がいつ何をしたか」を把握することは、従業員による不正の抑止力になります。また、認証を多重にしておけば、他の従業員の権限を利用したアクセスも防げます。
さらにこの機能では、ミスによる情報漏洩も予防できます。データの公開範囲の設定をミスした場合でも、それ以前に適切にアクセス制御の設定が行われていれば、情報が漏れることはありません。
「退職者が自社の共有アカウントにログインできないようにアクセス制御したい」「社員の職種レイヤーごとにアクセス権限をわけたい」といった方には下記の資料がおすすめです。
『企業向けパスワード管理ツール14選|比較表』【資料をメールで受け取る】
アクセス制御の基本機能
アクセス制御の基本機能は、次の3種類です。
これらは、安全性と柔軟性に優れたアクセス制御の実行に欠かせない機能です。ここでは、各機能について詳しく解説します。
認証
「認証」は、システムへのログインを許可するユーザーを識別する機能です。認証では、ログインを試みているのがアクセス権限を与えられたユーザーかどうかを判断し、許可または拒否を行います。
認証には、ID・パスワードを用いる方法やワンタイムパスワード、生体認証等、多様な方法があります。パスワードによる認証は盗まれるリスクが高いので、近年では唯一性の高い生体認証を用いたり、複数の認証を重ねたりして、安全性を高める工夫も行われています。
認可
「認可」は、「認証」をクリアしてログインしたユーザーに対し、システム内でアクセスできる情報の範囲を制限する機能です。この制限は、管理者により設定された条件に従って行われます。
つまりアクセス制御では、システムログイン時の認証に加え、ログイン後のアクセスを制限する認可機能も働いているのですね。
認可は、より細かな制限を行うのに便利です。ニーズに応じた制限条件を設けておけば、多くの人に共通システムの利用を許可しながらも、「然るべき情報を然るべきユーザーだけが見られる」という状況を維持することができます。
監査
「認証」「認可」のログを残す機能を、「監査」と呼びます。
監査はアクセス制御の効果検証に有効です。ログを辿ることで、「想定したユーザーがアクセスできているか」「想定外のユーザーがアクセスしていないか」を確認し、必要に応じた改善を図ることができます。
また、不正発生時の攻撃者特定にも、監査機能が活躍します。
「社員の職種レイヤーごとにアクセス権限をわけたい」「退職者が自社の共有アカウントにログインできないようにアクセス制御したい」といった方には下記の資料がおすすめです。
『企業向けパスワード管理ツール14選|比較表』【資料をメールで受け取る】
アクセス制御方式の種類
アクセス制御には複数の方式があります。
その代表的なものが、次の4種です。
・強制アクセス制御
・役割ベースアクセス制御
・属性ベースアクセス制御
それぞれの方式について詳しくご説明します。
任意アクセス制御
任意アクセス制御は、制限を行う権限を各ユーザーが持つという方式です。「Discretionary access control」を略し、DACと表現されることもあります。
例えば、作成したデータに誰のアクセスを許すのかを、ユーザー自身で設定できるような機能が、この方式にあたります。
この方式は、管理者の負担が少なく、ユーザー間の使い勝手には優れています。しかし、個々で権限を設定するためルールが定まらず、十分なセキュリティ効果を得られない点がデメリットです。
強制アクセス制御
強制アクセス制御は、管理者だけがアクセス制御のルールを設定できる方式です。「Mandatory access control」を略し、MAC と表現されることもあります。
アクセス権限の条件付けを行えるのはあらかじめ決められた管理者だけなので、各ユーザーによる自由な権限設定はできません。
自由度は低いものの、高いセキュリティ強度を保てる点が、強制アクセス制御の特徴です。よって、この方式はより機密度の高い情報管理によく用いられています。
役割ベースアクセス制御
役割ベースアクセス制御は、ユーザーを役割によって分類し、その役割ごとにアクセスを許可する情報の範囲や使用できる機能を制限するものです。「Role-based access control」を略し、RBAC と表現されることもあります。
例えば、「機密情報へのアクセスは管理職だけに認める」「人事職だけが社員の個人情報を見られる」等。このように、ユーザーを個人ではなく役割で分けた上で行う制限が、この方式にあたります。
属性ベースアクセス制御
属性ベースアクセス制御は、属性に応じて制限をかける方式です。「Role-based access control」を略し、RBAC と表現されることもあります。
この方式では、ユーザーを属性で分類し、その属性によってアクセスを許す情報の範囲や使用できる機能を制限します。
属性として使用されるのは、役職や所属部門、アクセス元のIPアドレス、時間等。例えば、IPアドレスを属性として条件付けに使用すれば社内からのアクセスのみを許可することができますし、時間を条件付けに使用すれば特定の情報にアクセスできる時間を限定することができます。
まとめ
デジタル化が進み、あらゆる情報をデータとしてやり取りするようになった現代ビジネスにおいて、アクセス制御は必須です。外部からの攻撃を防ぐため、また内部からの不正を抑止するために、アクセス制御機能は十分に活用するようにしましょう。
また、セキュリティ強度を高めるには、認証手段の併用や細かな権限設定が有効です。アクセス制御は方式によっても安全性や柔軟性が大きく異なるので、扱う情報や自社のニーズに合わせて方式および製品を選ぶようにしてください。
【無料特典】パスワード管理ツール14選比較表を配布中!
図解画像.png)
「複雑なパスワードの方が良いのは分かってるけど、入力も覚えるのも大変…」という方におすすめなのが、「シングルサインオン」というパスワード管理ツール。セキュリティ向上と同時に、パスワード管理・入力が1クリックで行えて、業務効率アップも見込めます。
そんな「シングルサインオン」の主要製品を、無料で始められるものも含めて一覧でわかる比較表にしました!下記フォームの入力で、今すぐご覧いただけます。
