アクセスコントロールについて徹底解説! IDaaSの導入がおすすめ!
誰がどのデータにアクセスできるべきか、一つ一つ対処していては、いくら時間や手間をかけても追いつきません。
どうすれば、効率的なアクセスコントロールが可能になるのか。本記事では、アクセスコントロールについてその機能や主な方式や特徴について解説します。
目次
アクセスコントロールとは?
アクセスコントロールとは、コンピュータやネットワークにおいて、許可されたユーザだけが情報にアクセスできるように制限する仕組みのことです。
例えば、以下のような例があります。
- マーケティング部に所属するXさんは、「マーケティング部しか閲覧できないデータ」にアクセスできるが、営業部のYさんは閲覧できない。
- 自身で構築したWebサイトの管理画面に、管理者であるAさんはアクセスしサイトを構築できるが、全くの他人であるBさんはアクセスできない。
上記のように、「アクセス権限を保有する人だけ」が情報にアクセスでき、その他の人は情報を閲覧する事すらできません。また、アクセスコントロールは、日常で利用するWebサイトやECサイトなどにおいても利用されます。
なぜアクセスコントロールが必要なのか
アクセスコントロールが必要な理由は、「情報を守るため」です。
誰でもどの情報にもアクセスできるようになってしまうと企業の機密情報が漏れてしまい、企業に不利益になったり、個人情報が漏れて悪用されてしまったり、という事態になりかねません。
- 新規プロジェクトの内容が、開始前に漏れてしまい他企業に真似される
- 個人情報が漏洩し、悪人に乱用されてしまう
このようなケースに陥ると、企業であっても個人であっても大きな問題や大きな不利益を被ってしまいます。このようにならないために、情報にアクセスできる人を制限して、情報を守る必要があるのです。
アクセスコントロールが持つ3つの機能
ここでは、アクセスコントロールが持つ3つの機能について紹介していきます。
① アクセス権がある本人か確認する「認証」
アクセスコントロールの「認証」は、「本人確認」とイメージすると分かりやすいと思います。例えば、スマートフォンなどである「顔認証」や「パスワードの入力」は、この人が本当にスマートフォンの持ち主かどうかを確認するために行う作業です。
認証方法は簡単すぎても認証の意味がありませんし、難しすぎると利便性が低い、ということで時代によってその方法が変わってきています。
例えば、ログインIDとパスワードによる認証や、最近ではテクノロジーの進歩から、先ほど例に挙げた顔認証や指紋認証などの「生体認証」等があります。
また近年サイバー攻撃などが横行している現状から「二要素認証」や「多要素認証」など複雑化している傾向にあります。
② アクセス範囲を定める「認可」
アクセスコントロールの「認可」は、特定のユーザがどこからどこまで情報にアクセスできるか、範囲を制限するものです。この範囲を決める際には、アクセス制限リストという、情報にアクセスできる条件を示したものを活用し、この条件を満たしているユーザのみが情報にアクセスできます。
この条件は複数個設定でき、外部からのアクセスがあれば、設定された順番に条件と照らし合わせ、アクセスできるかを判断します。
また、「認可」には幾つかの種類があり、情報に対して「閲覧のみ可能」や「追加・削除が可能」、「転送可能」、「コピー可能」など権限によって、できることの範囲が異なります。
③ 認証と認可の履歴から不正の確認をする「監査」
アクセスコントロールの「監査」は、認証や認可の履歴から過去に不正アクセスや不正な情報の持ち出しなどがないかを確認する機能です。
監査はあくまで、過去にあった不正アクセスなどについて調べるため、これ自体に不正アクセスを防止する機能はありません。しかし、過去の不正アクセスから原因や経路を探り、今後の対策に活かすことができるため、不可欠な要素の1つです。
また過去の履歴を確認することで不正アクセスの痕跡から犯人特定に繋がることもあるので、セキュリティ強化という観点で欠かせないポイントとなります。
アクセス制御の3つの方式
① 任意アクセス制御(DAC)
任意アクセス制御(Discretionary Access Control)とは、「情報の制作者がファイルの読み取り、書き込み実行に関するすべての権限を持つ方式」で、最も多くの企業で導入されている方式です。
またDACは、製作者が「誰がどの範囲の情報を閲覧できるかを制限する」という事も出来ます。例えば、会社の中で新しいファイルを作ったとして「マーケティング部の人は閲覧可能で、その他の部署の人は閲覧できないようにする」などです。もちろん個人単位でもアクセス権限を決定することができます。
DACのメリットは、自由度が高いことです。上述したように、製作者は読み取りから実行まで行うことができますし、他の人に対する権限まで裁量権があります。一方で、トレードオフですが、情報管理上の問題が生じる可能性があるというデメリットもあります。その為、機密性の高い情報を扱う組織などではDACは向かない可能性があります。
② 強制アクセス制御(MAC)
強制アクセス制御(Mandatory Access Control)は、情報操作において、管理者にすべての権限があるものです。管理者は、ユーザと情報に対して権限を設けて管理することができます。
例えば、ユーザAさんに対してはファイル1、2、3全てにアクセスする権限を設定し、ユーザBさんに対しては、ファイル1のみアクセスする権限を設けるなど、権限に強弱をつけて管理することができます。
このような特性からMACは、機密性の高い情報を扱う際に向く仕組みです。
MACのメリットは、セキュリティ性が高いことです。一方でデメリットとして、「ユーザAさんは権限が弱いが、この情報にはアクセスできるように設定する」等のように、融通が利きづらい所があります。その為、一般的な企業での採用には向かない可能性があります。
③ 役割ベースアクセス制御(RBAC)
役割ベースアクセス制御(ロールベースアクセスコントロール)RBAC:Role Based Access Control とは、「基本的には強制アクセス制御(MAC)の管理方法を採用するが役割に応じてアクセス権を追加できる。」もので、DACとMACの中間のイメージです。
例えば、ユーザAさんはマーケティング部署に所属している為、「マーケティング部の権限」しか持たないが、新規プロジェクトに参加する為、特別に「営業部の権限」も一時的に付与する、といったものです。
RBACのメリットは、一定のセキュリティ性を担保しつつも、ある程度融通を利かせられる点です。一方デメリットは、恣意的な判断ができてしまうため、本来権限を持つ必要がない人も権限を持ててしまうという点です。
アクセスコントロールにはIDaaSの導入がおすすめ
上述した内容から、アクセスコントロールの上で大切なのは、アクセス権限を適切に付与することと分かります。しかし、特に人数が多い組織において、アカウント管理は複雑です。
そこでオススメなのは、IDaaSです。IDaaSは、端的に言うとID管理を行うクラウドサービスです。クラウド経由で、ユーザ管理、アクセス権限の付与や制限を行うことができます。
具体的には、IDaaSを導入することで、ユーザ認証、ID・パスワードの管理、シングルサインオン(SSO)という複数のサービスにまたがって自動ログインができるようになります。IDaaSを利用することで、ユーザと管理者の利便性を高め、管理の負担を減らしながら、セキュリティを高めてくれます。
まとめ
本記事では、アクセスコントロールについてその機能や主な方式、それらの特徴について解説してきました。アクセスコントロールにおいては、組織にあったアカウントコントロール方式を採用し、利便性とセキュリティ性の高いものを採用するのがおすすめです。またIDaaSを導入することもおすすめなのでぜひ検討してください。
ぜひお気軽にご相談ください
ゼロトラストの構成要素に欠かせない統合的なID管理を実現します。
\詳しいPDF資料はこちら/
資料ダウンロードはこちら\お見積りや導入のご相談はこちら/
お問い合わせはこちら