アクセス制御とは?セキュリティ対策に必須の知識
近年、コンピューターのセキュリティ強化の必要性がますます高まっています。特に企業においては不審なアクセスが原因で、顧客情報や機密情報が外部に漏えいしてしまうといった事件もたびたび発生しています。
そういったイレギュラーを未然に防ぐべく、多くの企業はアクセス制御機能を用いて、自らのネットワークに外部からのアクセスを排除あるいは制限するようにしています。
今回は、企業などのネットワークを様々なリスクから守るアクセス制御について、基本的な説明から代表的な3つのアクセス制御方式について解説します。ネットワークセキュリティの分野では基本となる知識ですので、企業のシステム担当者の方は、ぜひ基礎知識としてお読みください。
目次を閉じる
アクセス制御とは
アクセス制御とはコンピュータのセキュリティを担保する機能であり、ソフトウェア側が接触可能な相手を識別し、それによってネットワーク内での行動を許可ないしは拒絶したりすることを言います。
アクセスコントロールとも呼ばれ、たとえば企業の社内ネットワーク内で行動できる端末を設定し、未登録の端末はネットワークへのアクセスを拒否するような働きをします。
アクセス制御は、それぞれ認証・認可・監査という3つのカテゴリから構成されています。コンピュータシステム内の各リソースに対して、どのユーザーがどの部分を使うことができるのかを設定し、それに基づいてアクセスの許可・拒否を決めることになります。
こちらの記事にもアクセス制御に関する追加情報が記載されているので、合わせてご覧ください。
認証
認証とは、当該コンピュータシステムにログイン可能なユーザーを識別して、システム内で行動する許可を与えたりログインを拒否したりする機能です。
代表的な認証方法として、ユーザーにログインIDとパスワードを入力させるものが知られていますが、指紋認証やクライアント証明書などが利用されることもあります。
指紋などの生体認証についてはこちらをご覧ください。
認可
認可とは、ネットワーク管理者がコンピューターシステム内でアクセスを制御するためのリスト(アクセスコントロールリスト)を定義し、ネットワークルーターを通過しようするアクセスに対して、通過を許可するものと拒否するものを決めることです。
アクセスコントロールリストは略して「ACL」と呼ばれることが多く、ルータを通過しようとするアクセスはACLの1行目から順に通過条件に合致するか否かが確認され、それに従って通過が許可または拒否されることになります。
監査
監査とは、これまで説明してきたような認証や許可に関する諸々の処理をログとして記録しておき、条件の見直しやアクセスの検証をすることです。これによって認証・認可の精度を高めることができます。
アクセス制御方式とは何か
続いて、アクセス制御の種類(方式)について説明します。ネットワーク内のリソースにアクセスする方式は主に3つあり、任意アクセス制御・強制アクセス制御・ロールベースアクセス制御がこれにあたります。
任意アクセス制御(DAC)
任意アクセス制御(DAC)とは、企業のシステム管理者やユーザーグループが、ファイル情報などの読み取りや書き込み、実行といったアクセス権限を設定する方式です。最もスタンダードな方式であり、一般的なOSでも採用されています。
たとえば、システムの所有者(Owner)、グループ(Group)、全てのユーザー(Everyone)といった属性ごとに、それぞれ読み取り(Read)、書き込み(write)、実行(execute)といった権限を付与していくことになります。
管理者の裁量によってアクセス権を決定するため、柔軟な設定が可能となる反面、セキュリティ面では十分とはいえません。
強制アクセス制御(MAC)
アクセス制御において、アクセスするユーザー側をサブジェクト、アクセス対象となるシステム側のリソースをオブジェクトと呼ぶのが一般的です。
強制アクセス制御方式では、このサブジェクトとオブジェクトそれぞれに対してセキュリティのレベルを設定し、そのレベルを比較することによってアクセス制限を行います。
これによって、たとえシステムの所有者であってもアクセス権を自由に設定することができなくなりますから、任意アクセス制御方式に比べるとセキュリティは固くなる傾向があります。
ロールベースアクセス制御(RBAC)
ロールベースアクセス制御は、サブジェクト側の役割(ロール)に基づいてアクセス制御を実現する方式です。各々のユーザーは、そのシステムにおける役割によって実行できる操作が決められており、その範囲を超える操作を行うことはできません。
たとえば、企業において職務に必要な範囲の権限だけをそのユーザーに与えることになるため、それぞれの部署(ユーザーグループ)に、別々の権限を与えて作業してもらうような場合に便利な方式です。
アクセス制御でセキュリティを強固に!
コンピュータのネットワークセキュリティにおけるアクセス制御について、その概要から3つの代表的なアクセス制御方式について説明しました。
アクセス制御には任意アクセス制御(DAC)、強制アクセス制御(MAC)、ロールベースアクセス制御(RBAC)があります。それぞれのメリットとデメリットを理解したうえで、適切な方式を採用することが求められます。
まずは自社のシステムとネットワークの状況を把握し、最も効率的でリスクの少ないものはどれかを見極めることが必要です。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
