アクセス制御とは?基本からわかりやすく解説!
- 基礎と応用
テレワークの浸透により、外部から社内システムへアクセスするニーズが大きく増しましたが、同時にアクセス制御による対策の重要性も増しています。不正アクセスが問題視されるなか、アクセス制御を行うことは企業活動にとって必要不可欠です。
そこで今回は、アクセス制御の基本的な知識として、アクセス制御の基本的な三つの機能と方式をご紹介します。
アクセス制御とは
アクセス制御とは、コンピュータやシステム、データ、ネットワークなどにアクセスできるユーザーを制限すること、またはその機能を指します。
例えば企業であれば、自社の社員のみ、正規ユーザーとして承認されており、アクセス可能にします。一方で、社員や承認されている人以外はアクセス不可にすることも必要です。アクセス制御は、第三者や悪意を持った攻撃者などからコンピュータやネットワークのセキュリティを保つための機能です。
アクセス制御には、認証・認可・監査という三つの機能があります。
アクセス制御の三つの基本機能
アクセス制御の三つの基本機能である認証・認可・監査について、それぞれご説明します。
●認証
認証は、ユーザーのログインの許可・拒否を制御する機能です。アクセスしようとしてきたユーザーごとにID・パスワードやワンタイムパスワード、指紋や顔などの生体認証、電子証明書などを用いた認証を課して、許可・拒否を制御します。
●認可
認可は、アクセスが許可されたユーザーごとに、操作できる範囲を制限する機能です。ユーザーは、あらかじめ定められたアクセス制御リストに基づき、操作できる範囲内で操作ができます。認証でアクセスできるかどうかを判定し、アクセス後に、さらに詳しく操作範囲を振り分けるということをします。
●監査
監査では、認証や認可を行ったログの記録を行います。アクセス履歴を記録することでアクセスを認証や認可したものの正当性を検証し、改善に役立てます。監査機能がしっかりと構築されていれば、不正ログインの疑いが生じた際にも、ログを即座にたどり、迅速な対応が可能になります。
アクセス制御の方式
アクセス制御とひと口にいっても、さまざまな方式があります。ここでは、よく利用される四つの方式をご紹介します。
●任意アクセス制御
任意アクセス制御とは、「Discretionary Access Control(DAC)」と表記されるもので、ユーザーにアクセス制御の権限を付与する方式です。
例えば何らかのサービスにアクセスした後、ユーザーが自らファイルを作成したとします。そのファイルをサービス利用ユーザー全員にアクセス許可を与えるのか、指定したユーザーのみにアクセス許可を与えるのか、そのファイルの書き込みや実行の権限はどうするのかなどを、ユーザーが自由に設定することが可能です。
ただし、ユーザーに自由な権限を与えると、操作ミスや設定ミスなどにより、セキュリティの観点から問題になることがあります。重要性の高いファイルのアクセス制御には向かない方式といえます。
●強制アクセス制御
強制アクセス制御とは、「Mandatory Access Control(MAC)」と表記されるもので、アクセス権限の付与は管理者だけに許されている方式です。つまり管理者が強制的にアクセスするユーザーそれぞれに対して権限を設定することで、制御します。任意アクセス制御よりもセキュリティの面で高いといえます。
●役割ベースアクセス制御
役割ベースアクセス制御は、ロールベースアクセス制御とも呼ばれる方式で、「Role-Based Access Control(RBAC)」と表記されます。
ユーザーの役割(ロール)に応じて権限を付与する方式です。例えば業務に必要な権限が設定されます。
社内の業務システムにおいて、経理部門はこの範囲まで、営業部門はこの範囲まで、など部署部門ごとに操作できる範囲を制限するなどの使用方法があります。
●属性ベースアクセス制御
属性ベースアクセス制御とは、「Attribute Based Access Control(ABAC)」とも表記されるもので、ユーザーの属性に応じて、実行できる機能やアクセスできる範囲などの権限を付与するものです。
例えば、社員が社内のPCから社内のシステムへアクセスする場合と、社外のスマートフォンからアクセスする場合とは、属性が異なります。セキュリティの観点から、社外のスマートフォンからのアクセスで利用可能な機能を狭めるといった制御を行います。
アクセス制御は「Account@Adapter+」におまかせ
アクセス制御を行うことは企業にとって重要です。いかに効率的かつ信頼性の高いしくみを構築できるかが問われます。
エイチ・シー・ネットワークスの「Account@Adapter+」は、アクセス制御機能で安心安全なネットワーク環境を構築できる認証アプライアンスです。
さまざまな端末、場所からのネットワークアクセスに対して、許可されたユーザーやアカウントのみを接続させることができます。
企業のアクセス制御の課題を解決します。より詳細にお知りになりたい方は、サービスページをご覧ください。
ネットワークの基本から課題解決事例までわかりやすくまとめています。会社や組織内のネットワークの導入や見通しを検討するときに必ずお読み頂きたい一冊です。