一覧に戻る


アクセス制御とは?基本機能から実装の目的、導入時に選ぶポイントまで解説

タグ:

アクセス制御とは、だれがどのデータにアクセスできるのか、ファイルやユーザーの権限を管理して、セキュリティを強化するための仕組みのことです。

アクセス制御をおろそかにしていると、退職者や悪意のある第三者がデータを開けてしまい、重大な問題に発展する可能性もあります。

そこで、本記事ではアクセス制御がどのようなものか、機能や目的、選ぶときのポイントまでわかりやすくまとめました。

  1. アクセス制御とは
  2. アクセス制御における3つの機能
  3. アクセス制御システム選びのポイント

この記事を読めば、アクセス制御の必要性を理解できるだけでなくできるだけでなく、最適なシステムも選べるようになります。

情報のセキュリティを高めたいと考えている方は、ぜひ、最後まで記事をご覧ください。

 

アクセス制御とは

アクセス制御とは

ネットワーク上におけるアクセス制御とは、システムや情報などにアクセスできる人を制限する方法を指します。

アクセス制御がなぜ必要なのかというと、主に3つの理由が挙げられます。

  • セキュリティの強化
  • 情報の保護
  • 企業の信頼や価値を高める

悪意のある第三者によるサイバー攻撃が巧妙化している現在では、セキュリティ強化は欠かせません。

しかし、セキュリティを強化しすぎると、システムや情報へのアクセスが必要な社員などがアクセスできない事態が発生してしまいます。

そのため、アクセスできる人とできない人を制御する必要があるのです。

また、アクセス制御はただアクセスできる人の許可・拒否を担っているだけではありません。

「誰が」「どのシステムや情報にアクセスできるのか」を管理し、アクセス情報を記録して監視しています。

アクセス制御を実施し、システムや情報を正しく守ることで、他者からの企業への信頼や価値が高まります。

アクセス制御における3つの機能

アクセス制御における3つの機能

アクセス制御には主に3つの機能があります。

  1. 認証
  2. 認可
  3. 監査

3つの機能がどのようなものか理解しておくと、アクセス制御が正しくできるようになります。

アクセス制御の機能がどのような性質を有しているのか、詳しく見ていきましょう。

(1)認証

アクセス制御における「認証」は、アクセスしようとしているユーザーが登録されている人物か判断し、アクセスの許可および拒否を判断する機能です。

認証の機能として、以下のようなものが挙げられます。

 

ID・パスワードによる認証
  • 多くのサイトやアプリケーションへのログイン方法として使用されている
  • ID・パスワードの認証方法は情報が漏えいしたり盗まれたりすると簡単に不正アクセスされてしまうため、多要素認証(二段階認証・二要素認証)が併用される機会が増えている

生体認証による認証
  • 指紋認証や顔認証など、スマホのロック解除などに主に使われている方法
  • 本人の生体情報を用いてアクセスするためID・パスワードの認証方法より安全とされている
  • 本人拒否・他人受入が低い確率ながらある

電子証明書を利用した認証
  • アクセスできるのは電子証明書を保有している者のみ
  • 電子認証をPCやスマホにインストールしてもらうことでアクセス可能になる
  • 電子証明書の記載内容が変更になったり有効期限が切れたりするとアクセスできなくなる

 

サイトやアプリケーションなどへのログインは日常的に行われ、情報は常にリスクに晒されています。

大切な情報を守るために、ログインしようとしている者へのアクセス許可および拒否をする認証は、重要な機能の1つなのです。

あわせて読みたい

ID・パスワードの認証と併用して使用されることが多い多要素認証については、関連記事『多要素認証とは?必要性と導入時のポイント3つを解説』をご参考ください。

(2)認可

「認証」によってログインしたユーザーが、どこまでの機能を使えるのか判断し、制限をかけるのが認可の役割です。

たとえば、あるサイトに無料ユーザーと有料ユーザーが同時にログインした際に、無料ユーザーは利用できる機能に制限がかかる場合があります。

このようなことが起こる理由は、管理者があらかじめ設定した条件が記されているアクセスコントロールリスト(ACL)にあります。

アクセスコントロールリストを元にしてログインしてきたユーザー情報から利用できる範囲を判断しているのです。

認証と認可は似たような言葉ですが、アクセス制御に関しては以下のように覚えるといいでしょう。

認証と認可の違い

認証

サービスや情報にログインしようとしている者が登録されているか判断し、アクセスを認めたり拒否したりする

認可

サービスや情報にアクセスしてきた者の登録情報から、どこまで利用して良いのか判断し、利用できる範囲のみアクセスを認める

 

(3)監査

監査は、サイトや情報においてユーザーがどのようにアクセスし行動したか、履歴を残す役割を担っています。

ログを残す理由は、不正アクセスや不正な行動の検知や、現在のアクセスコントロールリストに問題がないか、チェックするためです。

万が一不正アクセスや情報流出などが起こってしまった場合でも、履歴を確かめることで、「誰が」「いつ」「どのようにして起こったか」が判断できます。

理由が判明することで、これ以上の被害の拡大を防ぐための対策や今後の予防策が取れるようになるのです。

アクセス制御方式の種類

アクセス制御方式の種類

アクセス制御方式の種類は4つあります。

  1. 任意アクセス制御
  2. 強制アクセス制御
  3. 役割ベースアクセス制御
  4. 属性ベースアクセス制御

それぞれのアクセス制御方式の特徴と、どのように使われているかについて説明します。

(1)任意アクセス制御

任意アクセス制御(Discretionary Access Control:DAC)は、ユーザーがアクセス権限を自由に設定できる方式です。

データなどを作成した本人が自由にアクセスできる範囲を設定できるのが任意アクセス制御です。

たとえばクラウドストレージに保存したデータの公開範囲を、自分だけにするか、限定した範囲で公開するか、または全体公開するのかと選べるのは任意アクセス制御になります。

任意アクセス制御は、自由にアクセスできる範囲を定められ柔軟性が高い反面、セキュリティ面に問題があります。

なぜなら、「リンクを知っている全員」がアクセス可能である場合は、何らかの方法でリンクを知った悪意のある第三者も簡単に情報を見られるからです。

任意アクセス制御は重要性の高いデータには使用しない方がいいでしょう。

(2)強制アクセス制御

強制アクセス制御(Mandatory Access Control:MAC)では、アクセス権限変更は管理者のみ可能です。

例えば、作成したファイルを社内共有したい場合は、管理者にアクセス権を変更してもらわなければなりません。

任意アクセス制御のようにユーザーがアクセス制御ができないため手間はかかりますが、情報漏えいなどのリスクは低くなります。

強制アクセス制御は、任意アクセス制御よりも柔軟性が失われる代わりに高いセキュリティが得られるため、重症性の高い情報に対して使用するとよいでしょう。

(3)役割ベースアクセス制御

役割ベースアクセス制御(Role-Based Access Control:RBAC)は、部署や業種など、それぞれの役割によってアクセス制御する方法です。

もしくは、ユーザーを基準としてアクセス制御する方法とも言えます。

例えば、営業部のみ必要な情報に役割ベースアクセス制御を実施すると、営業部に在籍する社員は情報を閲覧できますが、他の部署はアクセスできません。

アクセス権限を持つ役割に属していれば誰でも情報にアクセスできる役割ベースアクセス制御は、利便性とセキュリティ面のバランスが良い制御方法といえます。

(4)属性ベースアクセス制御

属性ベースアクセス制御(Attribute-Based Access Control:ABAC)は、データごとにそれぞれ属性が振られており、管理者に許可された属性のデータのみ利用可能な制御方法です。

もしくは、データを基準にしたアクセス制御方法とも言えます。

例えば、A〜Dの4つのファイルが存在し、それぞれに別の属性が与えられていたとします。

そして、管理者にAとCのファイルにアクセスする許可を与えられたユーザーが4つのファイルにアクセスしようとしたとき、AとCのファイルだけ利用できる形式です。

簡単に言えば、属性ベースアクセス制御は管理者によりデータとユーザーそれぞれに属性が割り振られ、適合する属性のみアクセスができる制御方法になります。

属性データベース制御は、役割ベースアクセス制御よりも細やかなアクセス制御ができます。

しかし、データごとに属性を割り振る必要があるためコストや手間がかかったり、データへのアクセスがしづらくなったりすることがデメリットとして挙げられます。

アクセス制御を実装する目的

アクセス制御を実装する目的

アクセス制御を実装する目的は、主に2つあります。

  1. 不正なアクセスによる情報漏えいを防ぐため
  2. 内部不正による情報漏えいを防ぐため

日々の業務の中で、企業はさまざまな情報を扱っており、そのすべてが情報資産です。

大切な資産を守るためにも、アクセス制御を実装する目的を理解しましょう。

(1)不正なアクセスによる情報漏えいを防ぐため

アクセス制御を実装すると、アクセス時にさまざまな認証方法によりユーザーを判別するため、不正アクセスを防止できます。

不正アクセスされると、情報漏えいや不正な操作によりマルウェアを仕掛けられたりとさまざまな被害が発生します。

また、たった一度の不正アクセスの被害により、大切な情報だけでなく、今まで積み上げてきた信頼まで一瞬で失ってしまうのです。

情報資産を守り、社会的信頼を失わないようにするためにも、アクセス制御の実装は欠かせません。

あわせて読みたい

クラウドサービスからの情報漏えいの事例や対策について、詳しくは「クラウドの情報漏えいはなぜ起こる?4つの原因や事例、3つの対策を解説」で解説しております。ぜひあわせてご覧ください。

(2)内部不正による情報漏えいを防ぐため

アクセス制御を実装することによって、外部からの攻撃はもちろん、内部からの不正も検知や予防ができるようになります。

それにより、内部からの不審な動きに対してもセキュリティ強化が可能です。

情報漏えいなどの不正が内部の社員により行われていたことは、一度や二度ではありません。

また、万が一内部不正が発生した場合でも、ログ(アクセス履歴などの記録)を調べることにより原因を特定できます。

健全な企業運営をするためにも、アクセス制御を実装し情報を守るようにしましょう。

あわせて読みたい

内部不正の実態について、詳しくは「内部不正対策の基本と3つの強化策、過去の事例から現在の実態まで解説」で解説しております。ぜひあわせてご覧ください。

アクセス制御システム選びのポイント

アクセス制御システム選びのポイント

アクセス制御システムを選ぶ際に気をつけなければならない点は3つあります。

  1. アカウントの管理が複雑になりすぎないか
  2. 退職者の停止漏れに気づける仕組みはあるか
  3. 異動に伴う権限変更はスムーズにできるか

これらのポイントについて、詳しく見ていきましょう。

(1)アカウントの管理が複雑になりすぎないか

アクセス制御システムを選ぶ際に、まず、どのようにアカウントを管理するのかが重要になります。

なぜなら、アクセス制御システムとアカウント情報が上手く紐付かないと、アカウント管理が複雑になってしまうからです。

例えば、社員が別の部署に異動になった際には当然、アクセス権の変更が発生します。

場合によっては、新たにアクセス権を付与するケースもあるでしょう。

このような作業の時に、簡単な作業でアクセス権の付与や変更や削除ができるツールであれば、アカウント管理が効率よくできるようになります。

(2)退職者の停止漏れに気づける仕組みはあるか

退職者のアカウント停止漏れに気づける仕組みがあるかと言う点も、アクセス制御システムを選ぶポイントになります。

なぜなら、退職者のアカウント停止漏れは、情報漏えいなどの重大な損失に繋がる恐れがあるからです。

退職者が、社員として勤務していた頃に使用していたアカウントを利用してデータを横流ししていた例は多数報告されています。

外部からのセキュリティをどれほど強化しても、システムに登録されたアカウントを使ってのアクセスはたとえ不正であっても防止できません。

このことからも、退職者のアカウントは即座に停止しなければならず、アクセス制御システムでもアカウント停止漏れに気づけることが重要なのです。

(3)異動に伴う権限変更はスムーズにできるか

アクセス制御システムを選ぶ際には、社員が異動する際にアクセス権限がスムーズに変更できるのかもポイントになります。

社員のアクセス権は厳密に管理しなければなりません。

社員の異動の際に新たなアクセス権を付与し、不要になったアクセス権の削除を忘れると、必要以上に情報へアクセスできる状態になります。

過剰に情報へアクセスできる状態は非常に危険で、情報漏えいの原因になる可能性もあります。

社員が異動に対して速やかに権限変更ができることは、社内のセキュリティを高めるためにも重要です。

あわせて読みたい

アカウント管理ツールのより詳しい選び方については、「アカウント管理とは?メリットやID管理ツールの選び方をご紹介!」で解説しております。

メタップスクラウドでできるアカウント制御

メタップスクラウド

アカウント管理には、メタップスクラウドをおすすめします。

なぜなら、メタップスクラウドには以下のような制限・制御機能が揃っているからです。

  1. IP制限
  2. 端末制限
  3. 端末証明書

アカウント管理になぜこのような機能が必要なのか紹介します。

(1)IP制限

IP制限は、それぞれのユーザーに割り当てられたIPアドレスによってアクセス制限する方法です。

アクセス制御の「属性ベースアクセス制御(IPアドレスや時間によってアクセス権限を振り分ける方法)がIP制限に当たります。

IP制限を設けることによって、登録されたIPアドレス以外のログインは拒否されるのでセキュリティの強化に繋がります。

(2)端末制御

端末制御とは、端末ごとに割り当てられたコードを利用してアクセス制限をかける方法です。

端末制御とIP制限の違いは以下のとおりです。

IP制限
  • ユーザーが使用しているネットワーク上のIPアドレスによりアクセス制御を行う
  • ネットワークが異なればIPアドレスも変更になるので、他のネットワークからはシステムにアクセスできない

端末制御
  • 端末ごとに割り当てられたコードを使用してアクセス制御を行う
  • 他のネットワークからでも端末のコードは変わらないのでシステムへのアクセスができる

このことから、テレワークが多い企業では端末制御の方が利便性に長けているとも言えます。

あわせて読みたい

テレワークの普及などの背景もあり、企業が許可していないPCやスマホでシステムにアクセスする、シャドーITが問題となっています。

端末制御によるアクセス制御を導入すれば、許可していない端末によるアクセスを防げるため、シャドーIT対策としても有効となるでしょう。

シャドーITについて詳しくは、関連記事「シャドーITとは?リスク・対策法5選と検知できるサービスを紹介」で解説しておりますので、ぜひあわせてご覧ください。

(3)端末証明書

端末証明書(クライアント証明書と呼ばれることもある)を利用したアクセス制御は、管理者サイトより発行された証明書をインストールした端末のみアクセスを許可する方法です。

端末制御との違いは以下のとおりです。

端末制御

端末をサーバーに登録することでアクセスできる

端末証明書によるアクセス制御

管理者サイトから発行された端末証明書をインストールした端末のみアクセスできる

端末証明書によるアクセス制御は、会社が認めた証明書を持たない端末からのアクセスはできません。

また、端末証明書には有効期限があるので期限切れには注意しましょう。

まとめ

まとめ

アクセス制御とは、ネットワークやシステムにアクセスできるユーザーを制御する方法です。

アクセス制御が必要な理由は主に3つあります。

 

  • セキュリティの強化
  • 情報の保護
  • 企業の信頼や価値を高める

 

近年はサイバー攻撃が巧妙化しているため、ネットワーク上にある情報を守るためにはアクセス制御が欠かせません。

アクセス制御を実施するためには、アカウント管理ツールを用いるといいでしょう。

メタップスクラウドは、アクセス制御に必要な「IP制限」「端末制御」「端末証明書によるアクセス制御」が可能なアカウント管理ツールです。

アカウントを一元管理することで現在の利用状況が可視化されるため、退職者のアカウント停止漏れも防止できます。

アカウント制御を効率よく行いセキュリティの強化をしたい方は、メタップスクラウドの利用を検討してみてはいかがでしょうか。

今すぐ無駄をなくしませんか?

メタップスクラウド編集部

「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。

タグ:
一覧に戻る

関連記事