アクセス制御とは | セキュリティ対策に必須の知識
近年、コンピューターのセキュリティ強化の必要性がますます高まっています。特に企業においては不審なアクセスが原因で、顧客情報や機密情報が外部に漏えいしてしまうといった事件もたびたび発生しています。
そういったイレギュラーを未然に防ぐべく、多くの企業はアクセス制御機能を用いて、自らのネットワークに外部からのアクセスを排除あるいは制限するようにしています。
今回は、企業などのネットワークを様々なリスクから守るアクセス制御について、基本的な説明から代表的な3つのアクセス制御方式について解説します。ネットワークセキュリティの分野では基本となる知識ですので、企業のシステム担当者の方は、ぜひ基礎知識としてお読みください。
目次を閉じる
アクセス制御とは
アクセス制御とはコンピュータのセキュリティを担保する機能であり、ソフトウェア側が接触可能な相手を識別し、それによってネットワーク内での行動を許可ないしは拒絶したりすることを言います。
アクセスコントロールとも呼ばれ、たとえば企業の社内ネットワーク内で行動できる端末を設定し、未登録の端末はネットワークへのアクセスを拒否するような働きをします。
アクセス制御は、それぞれ認証・認可・監査という3つのカテゴリから構成されています。コンピュータシステム内の各リソースに対して、どのユーザーがどの部分を使うことができるのかを設定し、それに基づいてアクセスの許可・拒否を決めることになります。
こちらの記事にもアクセス制御に関する追加情報が記載されているので、合わせてご覧ください。
認証
認証とは、当該コンピュータシステムにログイン可能なユーザーを識別して、システム内で行動する許可を与えたりログインを拒否したりする機能です。
代表的な認証方法として、ユーザーにログインIDとパスワードを入力させるものが知られていますが、指紋認証やクライアント証明書などが利用されることもあります。
指紋などの生体認証についてはこちらをご覧ください。
認可
認可とは、ネットワーク管理者がコンピューターシステム内でアクセスを制御するためのリスト(アクセスコントロールリスト)を定義し、ネットワークルーターを通過しようするアクセスに対して、通過を許可するものと拒否するものを決めることです。
アクセスコントロールリストは略して「ACL」と呼ばれることが多く、ルータを通過しようとするアクセスはACLの1行目から順に通過条件に合致するか否かが確認され、それに従って通過が許可または拒否されることになります。
監査
監査とは、これまで説明してきたような認証や許可に関する諸々の処理をログとして記録しておき、条件の見直しやアクセスの検証をすることです。これによって認証・認可の精度を高めることができます。
アクセス制御方式とは何か
続いて、アクセス制御の種類(方式)について説明します。ネットワーク内のリソースにアクセスする方式は主に3つあり、任意アクセス制御・強制アクセス制御・ロールベースアクセス制御がこれにあたります。
任意アクセス制御(DAC)
任意アクセス制御(DAC)とは、企業のシステム管理者やユーザーグループが、ファイル情報などの読み取りや書き込み、実行といったアクセス権限を設定する方式です。最もスタンダードな方式であり、一般的なOSでも採用されています。
たとえば、システムの所有者(Owner)、グループ(Group)、全てのユーザー(Everyone)といった属性ごとに、それぞれ読み取り(Read)、書き込み(write)、実行(execute)といった権限を付与していくことになります。
管理者の裁量によってアクセス権を決定するため、柔軟な設定が可能となる反面、セキュリティ面では十分とはいえません。
強制アクセス制御(MAC)
アクセス制御において、アクセスするユーザー側をサブジェクト、アクセス対象となるシステム側のリソースをオブジェクトと呼ぶのが一般的です。
強制アクセス制御方式では、このサブジェクトとオブジェクトそれぞれに対してセキュリティのレベルを設定し、そのレベルを比較することによってアクセス制限を行います。
これによって、たとえシステムの所有者であってもアクセス権を自由に設定することができなくなりますから、任意アクセス制御方式に比べるとセキュリティは固くなる傾向があります。
ロールベースアクセス制御(RBAC)
ロールベースアクセス制御は、サブジェクト側の役割(ロール)に基づいてアクセス制御を実現する方式です。各々のユーザーは、そのシステムにおける役割によって実行できる操作が決められており、その範囲を超える操作を行うことはできません。
たとえば、企業において職務に必要な範囲の権限だけをそのユーザーに与えることになるため、それぞれの部署(ユーザーグループ)に、別々の権限を与えて作業してもらうような場合に便利な方式です。
アクセス制御でセキュリティを強固に!
コンピュータのネットワークセキュリティにおけるアクセス制御について、その概要から3つの代表的なアクセス制御方式について説明しました。
アクセス制御には任意アクセス制御(DAC)、強制アクセス制御(MAC)、ロールベースアクセス制御(RBAC)があります。それぞれのメリットとデメリットを理解したうえで、適切な方式を採用することが求められます。
まずは自社のシステムとネットワークの状況を把握し、最も効率的でリスクの少ないものはどれかを見極めることが必要です。
ボクシルとは
ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。
「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」
そんな悩みを解消するのがボクシルです。
マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得できます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。
ボクシルとボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト・高効率・最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。
また、ボクシルでは掲載しているクラウドサービスの口コミを募集しています。使ったことのあるサービスの口コミを投稿することで、ITサービスの品質向上、利用者の導入判断基準の明確化につながります。ぜひ口コミを投稿してみてください。
