こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
ゼロトラストとは、「何も信用しない」セキュリティモデルのことです。従来のネットワーク内外の境界を重視し外側を脅威とするセキュリティ対策とは異なり、全ての通信をセキュリティの対象とするのが、ゼロトラストの考え方です。
このモデルは、クラウドサービスの登場により社内ネットワークの外にも守るべき情報資産が増えたことやテレワークの普及によりVPN接続の脆弱性が明らかになったことから生まれました。
ゼロトラストの実現には、認可機能が深く関わってきます。
今回はこの「認可」について、その概要や「認証」との違いなど、詳しく解説していきます。
おすすめのゼロトラスト・セキュリティ製品の一覧比較はコチラの記事から確認できます。選び方などにお悩みの方はぜひご覧ください。
参考:おすすめのゼロトラスト・セキュリティ製品を比較
認可とは
まずは、認可とはどのようなことを指すのか確認していきましょう。
Webシステム・サービスの利用を制限し、条件を満たして権限を付与されたユーザーのみが、データへのアクセスやシステムの操作をできるようにすること。
Webシステムやサービスを誰でも利用できる状態にしておくことには、情報漏洩や改竄などといったセキュリティ上のリスクがあります。
そこでこのリスクを低減させるために、システム管理者は、システムへのアクセスや操作をできるユーザーを制限する必要が出てきます。
そこで用いられるのが、認可です。
認可は、指定のデータへのアクセスやシステムの操作を行えるユーザーを、管理者が権限を付与したユーザーだけに絞ることを可能にします。ユーザーだけでなく、デバイスや場所、アクセス・操作の範囲などに制限をかけることもできます。
例えば、社員の採用データにアクセスできる権利を人事部の従業員だけに制限したり、システムへのアクセスを会社支給のデバイスからのみ可能にしたりすることも、認可にあたるでしょう。
つまり、条件を満たすユーザーやデバイスにアクセス権限および操作権限を与え、それ以外の利用を拒否すること、またはその手続きを、認可と呼ぶのです。
認可の主な機能
認可は、主に次のようなことを可能にします。
・アクセスできるユーザーの制限・・・システムや情報にアクセスできるユーザーを制限する機能(営業部門のみ顧客情報へのアクセスを可能にする、経営機密にアクセスできるユーザーを上層部のみにするなど)
・アクセス端末の制限・・・システムや情報へアクセスできる端末を制限する機能(会社の持ち出しPCに限って社外からのアクセスを可能にする、特定の社用スマホからのみアクセスを可能にするなど)
・アクセス場所の制限・・・システムや情報へのアクセス場所を制限する機能(IPアドレスの制限によってアクセスを社内からのみに限定する、アクセスできる国を制限するなど)
このように、認可はユーザーや端末、場所に制限をかけ、特定の人だけが情報にアクセスできる状況を作ることができます。多くの場合、システム単位ではなく、どの情報をどの範囲までアクセス可能にするかというように、情報単位での設定が可能です。
認可と認証の違い
認可と混同されやすいものに、「認証」という言葉があります。これらは異なる言葉であり、セキュリティ対策を進めるためには、それぞれの言葉の意味を正確に把握しておくことが大切です。
ここでは、認可と認証の違いについてご説明しましょう。
認証とは
通信の相手が誰なのか確認する手続き。得た情報を事前に登録した情報と照らし合わせ、それがユーザー本人であることを確かめることで、本人以外のアクセスを拒否し、セキュリティを向上させる。
認証は、私達が日常的に利用している手続きです。
例えば、スマートフォンのロック解除のための顔認証やパソコン利用時のPINコード入力なども、認証にあたります。
認証には、次の3つの要素があります。
・所持情報(スマートフォン、 ICカード、ハードウェアトークンなど)
・生体情報(顔認証、指紋認証、静脈認証など)
近年では、よりセキュリティを強化するため、これらのうち異なる2種類以上の要素を組み合わせて認証を行う二要素認証や、種類に関わらず二段階で認証を行う二段階認証などが主流になっています。
認可と認証は別物
簡単に言うと、認可は「アクセスや操作を制限すること」、認証は「本人確認を行うこと」です。これらはどちらもセキュリティ対策のひとつではあるものの、別の方法です。
言葉が似ているため混同してしまう人が多いので気をつけましょう。
ただし、多くのシステムが、認証によって通信相手が誰か確認した上で、認可としてその相手に付与された権限を基づいたサービスを提供する形を取る点を考えると、認可と認証には一連の関連性があるとも言えます。これは、認可と認証を合わせることが、セキュリティの向上に有効だからです。
認可を利用しないと引き起こされること
認可を利用しない場合、社内の誰もがシステム内の全ての情報にアクセスできる状況ができてしまいます。多くの人が情報を得られるということは、それだけ情報漏洩のリスクも高まるということ。
特に機密情報については、誰もがアクセスできる状況は好ましくありません。上層部やその業務に直結する部署だけに公開を留めておくべきでしょう。
また、誰もがシステムを操作でき、データを編集できるような場合、データの改竄による不正が発生する恐れもあります。
企業は、アクセスを制限すべき情報を適切に見定め、不必要な範囲までに情報を公開することを避けるために、認可をうまく活用しなければならないのです。
認可の利用前に確認すること
認可を利用する際には次の点を確認し、必要なシステムに対し適切な方法で認可を適用するようにしましょう。
どのシステムや情報に認可を利用するか
まず確認したいのが、どのシステムおよび情報に認可を利用するかということです。
認可は、全ての情報に利用すれば良いというものではありません。例えば、マニュアルや企業理念、成功事例などの情報は、社内で広く共有すべきでしょう。
一方で、顧客の個人情報や社員の個人情報などの機密情報の共有は、必要な部署だけに留める必要があります。
認可は、どのシステムに利用するか、どの情報に利用するかを正しく見極めることが大切です。
まずはシステムや情報を整理し、認可の適用の有無を判断しましょう。
現状のシステム・情報使用状況の把握
認可適用前には、現状システムや情報がどの部署のどの担当者にどのように使用されているか把握する必要があります。現状の使用状況を把握せずに認可を利用してしまうと、業務が円滑に進まなくなる可能性があるためです。
まずは現状を把握し、それを踏まえて権限を与えるユーザーの範囲やデバイス、情報の範囲を決めるようにしてください。
認証との連携も検討
認可は、認証と連携することでセキュリティをより強固なものにすることができます。認証によってユーザーが誰か確認した上で認可を行い、そのユーザーに付与された権限の範囲で情報へのアクセスを許可することで、二段階のセキュリティが実現するためです。
認可を利用する場合には、認証との連携の可否についても確認するようにしましょう。
まとめ
認可は、ゼロトラストのセキュリティモデルに基づき、情報を守りながら柔軟に業務を進めるために、効果的な手段です。重要な情報を扱うシステムについては、必ず認可機能を活用し、機密情報の公開範囲を最低限にしておきましょう。
ただし、認可は、認可を利用すべきシステムや情報を見極め、現状を把握した上で、適切に利用する必要があります。セキュリティを向上させるために、認証との連携も検討してください。
【無料特典】パスワード管理ツール14選比較表を配布中!
「複雑なパスワードの方が良いのは分かってるけど、入力も覚えるのも大変…」という方におすすめなのが、「シングルサインオン」というパスワード管理ツール。セキュリティ向上と同時に、パスワード管理・入力が1クリックで行えて、業務効率アップも見込めます。
そんな「シングルサインオン」の主要製品を、無料で始められるものも含めて一覧でわかる比較表にしました!下記フォームの入力で、今すぐご覧いただけます。