アクセス制御とは？基本からわかりやすく解説！

基礎と応用

テレワークの浸透により、外部から社内システムへアクセスするニーズが大きく増しましたが、同時にアクセス制御による対策の重要性も増しています。不正アクセスが問題視されるなか、アクセス制御を行うことは企業活動にとって必要不可欠です。
そこで今回は、アクセス制御の基本的な知識として、アクセス制御の基本的な三つの機能と方式をご紹介します。

アクセス制御とは
アクセス制御の三つの基本機能
アクセス制御の方式
アクセス制御は「Account＠Adapter+」におまかせ

アクセス制御とは

アクセス制御とは、コンピュータやシステム、データ、ネットワークなどにアクセスできるユーザーを制限すること、またはその機能を指します。

例えば企業であれば、自社の社員のみ、正規ユーザーとして承認されており、アクセス可能にします。一方で、社員や承認されている人以外はアクセス不可にすることも必要です。アクセス制御は、第三者や悪意を持った攻撃者などからコンピュータやネットワークのセキュリティを保つための機能です。

アクセス制御には、認証・認可・監査という三つの機能があります。

アクセス制御の三つの基本機能

アクセス制御の三つの基本機能である認証・認可・監査について、それぞれご説明します。

●認証

認証は、ユーザーのログインの許可・拒否を制御する機能です。アクセスしようとしてきたユーザーごとにID・パスワードやワンタイムパスワード、指紋や顔などの生体認証、電子証明書などを用いた認証を課して、許可・拒否を制御します。

●認可

認可は、アクセスが許可されたユーザーごとに、操作できる範囲を制限する機能です。ユーザーは、あらかじめ定められたアクセス制御リストに基づき、操作できる範囲内で操作ができます。認証でアクセスできるかどうかを判定し、アクセス後に、さらに詳しく操作範囲を振り分けるということをします。

●監査

監査では、認証や認可を行ったログの記録を行います。アクセス履歴を記録することでアクセスを認証や認可したものの正当性を検証し、改善に役立てます。監査機能がしっかりと構築されていれば、不正ログインの疑いが生じた際にも、ログを即座にたどり、迅速な対応が可能になります。

アクセス制御の方式

アクセス制御とひと口にいっても、さまざまな方式があります。ここでは、よく利用される四つの方式をご紹介します。

●任意アクセス制御

任意アクセス制御とは、「Discretionary Access Control（DAC）」と表記されるもので、ユーザーにアクセス制御の権限を付与する方式です。

例えば何らかのサービスにアクセスした後、ユーザーが自らファイルを作成したとします。そのファイルをサービス利用ユーザー全員にアクセス許可を与えるのか、指定したユーザーのみにアクセス許可を与えるのか、そのファイルの書き込みや実行の権限はどうするのかなどを、ユーザーが自由に設定することが可能です。

ただし、ユーザーに自由な権限を与えると、操作ミスや設定ミスなどにより、セキュリティの観点から問題になることがあります。重要性の高いファイルのアクセス制御には向かない方式といえます。

●強制アクセス制御

強制アクセス制御とは、「Mandatory Access Control（MAC）」と表記されるもので、アクセス権限の付与は管理者だけに許されている方式です。つまり管理者が強制的にアクセスするユーザーそれぞれに対して権限を設定することで、制御します。任意アクセス制御よりもセキュリティの面で高いといえます。