アクセス制御とは？機能や方式について分かりやすく解説！

アクセス制御とは

アクセス制御とは、コンピュータやネットワークにアクセスできるユーザーを制限する機能のことです。認証・認可・監査という３つのカテゴリにおいて、アクセス権限を細かく付与できます。アクセス認証を受けなければ、コンピューターやネットワークにアクセスできません。

アクセス制御における３つの機能

アクセス制御には、どのような機能があるのでしょうか。ここでは、アクセス制御の根幹を占める３つの機能を紹介します。

１．ログインの許可・拒否をする「認証」

認証とは、ログインできるユーザーを識別することです。そのユーザーしか知らない情報を用いて、本人なのかを確認します。認証方法はID・パスワードのほか、クライアント証明書、指紋や網膜を使った生体認証などが一般的です。

２．アクセスできる範囲を制限する「認可」

認可とは、アクセス制御リストの条件を参照し、ユーザーがアクセスできる範囲を制限する機能です。

アクセス制御リストとは、ネットワークを通過させるユーザーの条件を記したものです。ユーザーはリスト内の条件を満たせば、ネットワークにアクセスできます。アクセス制御リストには複数の条件を設定可能です。

外部からのアクセスがあったときは、コンピューターがリストの順番通りに条件に合致しているかを確認します。

３．認証や認可のログを記録する「監査」

監査とは、外部からのアクセス履歴を記録し、アクセス制限の検証・改善を行うための機能です。アクセス履歴を分析することで、認証・認可で設定したアクセス制御が正しかったどうかを確認します。

過去ログをたどれるため、不正ログインの痕跡や悪意のある攻撃者を特定するのにも有効です。

アクセス制御方式の種類

アクセス制御方式には、どのような種類があるのでしょうか。それぞれ紹介します。

一般ユーザーが権限を有する「任意アクセス制御」

任意アクセス制御は、ファイルの読取・書込・実行に関する権限を任意で付与する機能です。一般ユーザーが、所有者・グループ・全ユーザーといった属性ごとに、自己が作成したファイルのアクセス権限を柔軟に付与できます。最も一般的な制御方式で自由度が高いのが特徴です。

ただし権限設定の統一化が難しく、重要性の高いデータのアクセス制御には向きません。

管理者が権限を有する「強制アクセス制御」

強制アクセス制御は、アクセスを行うユーザー側とアクセス先のシステム側にセキュリティを設定する方式です。アクセス権限のルールは管理者のみが設定でき、システムの所有者であっても変更はできません。

そのため強制アクセス制御は、任意アクセス制御よりもセキュリティが高いと言われています。仕組みとしては、ユーザーとシステムにセキュリティレベルを設定し、その差を比較することでアクセス制限を実施します。

ユーザーの役割ごとに制限を行う「ロールベースアクセス制御」

ロールベースアクセス制御は、ユーザーの役割に応じて権限を設定する方式です。業務を行うために必要な範囲の権限が設定され、ユーザーはそれを超えるアクセス権を持てません。権限付与は部署ごとに設定されるのが一般的で、これにより効率化とセキュリティを両立できます。

アクセス制御を行い、セキュリティを向上させよう！

アクセス制御では、認証・認可によってアクセスを制限し、監査によって制御の最適化を行います。

権限の設定方式には、任意アクセス制御・強制アクセス制御・ロールベースアクセス制御があります。それぞれの特徴を理解して、自社に合った方式を選びましょう。

アクセス制御を最適化して、セキュリティを向上させてください。