アクセスコントロールは、企業システムや一般向けの商用サイトなどで不正アクセスから情報を守るために欠かせないものです。
適切なアクセスコントロールが行われていないと、情報流出などセキュリティ事故のリスクが高まります。
大切な情報を守るために必要な、アクセスコントロールの必要性や機能・方式を解説します。
アクセスコントロールとは
アクセスコントロールとは、システムやネットワーク、データ、端末などに対する、ユーザーの操作や情報を読み書きする権限を制御することです。
本来利用すべきユーザーのみが、必要な操作のみできるようにすることで、情報を守ったり適切に管理したりします。
例えば、ショッピングサイトのログインや、ニュースサイトの会員限定記事などが身近なアクセスコントロールの事例です。
企業におけるアクセスコントロールの必要性
企業が安定的な経営を行うには、重要な情報を守ることが大切です。
アクセスコントロールは、サイバー攻撃や内部不正から情報を守ったり、重要な情報を管理するのに欠かせません。
アクセスコントロールの必要性を見てみましょう。
サイバー攻撃から情報を守る
悪意ある第三者が企業システムにアクセスを試みたとき、誰でも自由に侵入できるようだと、重要なデータが参照・更新できる状態だったら盗み放題になってしまいます。
顧客や取引先の情報が盗まれて悪用されると、相手にも被害が及ぶうえ、企業の信用も失墜してしまいます。
そうならないよう、システムやネットワーク、データなどに何重にもアクセス制限をかけて、本来アクセスすべきユーザー以外がアクセスできないようにする必要があるのです。
内部不正から情報を守る
不正アクセスは外部からだけではありません。
メディアで報じられる顧客情報流出事件の一部は、社員や関係者による内部犯行です。
業務に必要のない重要情報にアクセスできたり、必要以上の権限が与えられていたりすると、悪意のある内部者に犯行の機会を与えることになります。
内部不正から情報を守るには、アクセスコントロールを適切に行うことが重要です。
重要な情報を管理する
企業には、全社員がアクセスして良いデータから、一部の社員や役職者にしかアクセスさせたくないデータまで、さまざまな情報があります。
アクセスコントロールは、セキュリティ面だけではなく、そのような情報の管理にも有効です。
例えば、人事情報は人事部の社員にのみ参照・更新の権限を付与することなどが挙げられます。
また、情報へのアクセスを必要最低限の人に絞ることで、データの誤削除や誤更新といったリスクの低減も可能です。
アクセスコントロールの3つの機能
アクセスコントロールには「認証」「認可」「更新」の3つの基本機能があります。
アクセスコントロールの基本機能について見ていきましょう。
認証:ログインする権限の有無を確かめる
「認証」は、システムやネットワーク、端末などにログインして良いユーザーを識別する機能です。
そのユーザーしか知らない・持っていない情報を用いて、本人によるアクセスであることを確認します。
本人確認には、ID/パスワード、ICカード、クライアント証明書、指紋・顔認証などが用いられます。
ID/パスワードに他の要素を組み合わせる多要素認証によりセキュリティ強度を高めることが可能です。
認可:操作できる情報の範囲を確かめる
「認可」は、どの機能やデータに対して、どのような操作をして良いかを制御する機能です。
「認証」がシステムなどへのログインを制御するのに対して、「認可」は認証を通過したユーザーに対して、可能な操作をさらに細かく制御します。
ユーザーによって参照のみ可能、参照と更新が可能、削除まで可能、などを設定し、必要以上の操作ができないようにして情報を守るのです。
監査:事後確認のためアクセス履歴を記録する
「監査」は、アクセス履歴を記録し、適切にアクセス管理されているか事後検証する機能です。
アクセス履歴は、不正アクセスやサイバー攻撃の有無の確認や、被害を受けた場合の調査などにも役立ちます。
「認証」「認可」とは違い、不正アクセスを直接的に防ぐものではありませんが、アクセスコントロールの有効性の確認や、内部不正に対する抑止力として重要です。
アクセスコントロールの3つの方式
アクセスコントロールの方式を確認しましょう。
アクセスコントロールには、主に「DAC:任意アクセス制御」「MAC:強制アクセス制御」「RBAC:役割ベースアクセス制御」の3つの方式があります。
DAC:任意アクセス制御
任意アクセス制御(DAC:Discretionary Access Control)は、ファイルなど情報の作成者が権限も自由に設定する方式です。
ファイルの作成者が、誰に対してファイルの読取・更新・削除などの権限を与えるかを決め、設定します。
企業でも、業務で作成したファイルの管理などで広く利用されている方式です。
自由度が高い一方、権限の制御が作成者任せになるためルールを徹底するのが難しく、重要なデータの管理には向きません。
MAC:強制アクセス制御
強制アクセス制御(MAC:Mandatory Access Control)は、管理者がユーザーと操作対象にセキュリティレベルを設定し、それを比較してアクセスを制御する方式です。
ユーザーは任意に権限を変えることはできず、管理者が設定した権限に従う必要があります。
例えば社内システムで、管理職と一般社員で利用できる機能や参照できるデータが異なるよう制御されているケースなどが該当します。
任意アクセス制御よりセキュリティ強度が高い一方、ユーザーごとに細かく権限を割り当てようとすると、管理が煩雑になる点がデメリットです。
RBAC:役割ベースアクセス制御
役割ベースアクセス制御(RBAC:Role-Based Access Control)は、ユーザー個別ではなく、役割ごとに権限を設定する方式です。
強制アクセス制御と同様、ユーザーが権限を変えることはできません。
企業では、所属部署や役職などの役割で権限設定されることが多いでしょう。
強制アクセス制御よりも設定や管理の負荷が低い一方、本来は権限を必要としない人にも付与される可能性があります。
アクセスコントロールすべきツールやサービス
アクセスコントロールは、誰でも参照や更新してよい情報以外に対して設定が必要です。
企業には、社内外の誰でも自由に参照・更新して良い情報は基本的にないでしょうから、あらゆるツール・サービス、情報になんらかのアクセスコントロールを設定すべきと考えて良いでしょう。
特に顧客情報や取引先情報、経営上の機密情報などの重要な情報を取り扱う場合には、「認証」「認可」の仕組みや条件を厳格にし、必要最低限の管理者やユーザーのみがアクセスできるよう制御することが大切です。
企業におけるアクセスコントロールの利用例
企業におけるアクセスコントロールの身近な利用例を紹介します。
WindowsのACL
WindowsのACL(アクセス制御リスト)は、ファイルやフォルダのアクセスコントロールに利用される機能です。
ユーザーごとにアクセス権限を設定したり、部署やプロジェクトなどでグループを作成して権限設定したりといった使い方ができます。
多くの企業で利用されている身近なアクセスコントロールの一つと言えるでしょう。
シングルサインオン
シングルサインオンは、システムごとのユーザー認証を不要として利便性を向上させる仕組みです。
複数あるシステムで、それぞれID/パスワードを管理することの大変さは、多くの方が感じていることでしょう。
シングルサインオンにより、1度のユーザー認証で複数のシステムへのログインが可能になり、ユーザーのID/パスワード管理の負荷を軽減できます。
VPN
VPN(Virtual Private Network:仮想専用線)は、ネットワークにおけるアクセスコントロールのひとつです。
VPNでは、通信を暗号化することにより、インターネットを、「認証」されたユーザーのみが利用できる専用線のように利用できます。
リモートワークが広がった昨今、社員に配布した端末から社内ネットワークへアクセスする際にVPNを利用している企業も多いでしょう。
適切なアクセスコントロールで大切な情報を守ろう
アクセスコントロールは、誰もが利用する身近なセキュリティ対策であり、情報管理の手段でもあります。
適切なアクセスコントロールで、大切な情報をサイバー攻撃や内部不正から守りましょう。
大切な情報をオンラインストレージに保管する場合には、適切なアクセスコントロールや万全のセキュリティ対策がなされたサービスを選ぶことが大切です。
端末認証や二段階認証など、不正アクセス対策も標準搭載された国産オンラインストレージ「セキュアSAMBA」のご利用をぜひご検討ください。