アクセス制御とは
アクセス制御とは、コンピュータやネットワークにアクセスできるユーザーを制限する機能のことです。認証・認可・監査という3つのカテゴリにおいて、アクセス権限を細かく付与できます。アクセス認証を受けなければ、コンピュータやネットワークにアクセスできません。
アクセス制御における3つの機能
アクセス制御には、どのような機能があるのでしょうか。ここでは、アクセス制御の根幹を占める3つの機能を紹介します。
1.ログインの許可・拒否をする「認証」
認証とは、ログインできるユーザーを識別することです。そのユーザーしか知らない情報を用いて、本人かを確認します。認証方法はID・パスワードのほか、クライアント証明書、指紋や網膜を使った生体認証などが一般的です。
2.アクセスできる範囲を制限する「認可」
認可とは、アクセス制御リストの条件を参照し、ユーザーがアクセスできる範囲を制限する機能です。
アクセス制御リスト(Access Control List)とは、ネットワークを通過させるユーザーの条件を記したもので、ACLとも略されます。ユーザーはリスト内の条件を満たせば、ネットワークにアクセスできます。アクセス制御リストには複数の条件を設定可能です。
外部からのアクセスがあったときは、コンピュータがリストの順番どおりに条件に合致しているかを確認します。
3.認証や認可のログを記録する「監査」
監査とは、外部からのアクセス履歴を記録し、アクセス制限の検証・改善を行うための機能です。アクセス履歴を分析することで、認証・認可で設定したアクセス制御が正しかったかどうかを確認します。
過去ログをたどれるため、不正ログインの痕跡や悪意のある攻撃者を特定するのにも有効です。
以下のページでは、社内ネットワークに不審な端末がアクセスしないよう制御する「アクセスコントロールシステム」を紹介しています。セキュリティ強化に興味がある方はぜひ活用してください。
アクセス制御方式の種類
アクセス制御方式には、どのような種類があるのでしょうか。以下で解説します。
一般ユーザーが権限を有する「任意アクセス制御」
任意アクセス制御(DAC:Discretionary Access Control)は、ファイルの読取・書込・実行に関する権限を任意で付与する機能です。一般ユーザーが、属性ごと(所有者・グループ・全ユーザー)に、自作したファイルのアクセス権限を柔軟に付与できます。最も一般的な制御方式で自由度が高いのが特徴です。
ただし権限設定の統一化が難しく、重要性の高いデータのアクセス制御には向きません。
管理者が権限を有する「強制アクセス制御」
強制アクセス制御(MAC:Mandatory Access Control)は、アクセスするユーザー側とアクセス先のシステム側にセキュリティを設定する方式です。アクセス権限のルールは管理者のみが設定でき、システムの所有者であっても変更はできません。
そのため強制アクセス制御は、任意アクセス制御よりもセキュリティが高いとされます。仕組みとしては、ユーザーとシステムにセキュリティレベルを設定し、レベル差を比較することで強制的にアクセス制限を実施します。
ユーザーの役割ごとに制限を行う「ロールベースアクセス制御」
ロールベースアクセス制御(RBAC:Role-Based Access Control)は、ユーザーの役割に応じて権限を設定する方式です。業務を行うために必要な範囲の権限が設定され、ユーザーは必要範囲を超えるアクセス権をもてません。権限付与は部署ごとに設定されるのが一般的で、効率化とセキュリティを両立できます。
アクセス制御を行い、セキュリティを向上させよう!
アクセス制御では、認証・認可によってアクセスを制限し、監査によって制御の最適化を行います。
権限の設定方式には、任意アクセス制御・強制アクセス制御・ロールベースアクセス制御があります。各特徴を理解して、自社に適した方式を選びましょう。
アクセス制御を最適化して、セキュリティを向上させてください。
