おすすめのアクセスコントロールシステムを比較
まずは、ITトレンド編集部が厳選したアクセスコントロールシステムを紹介します。
L2Blocker の比較ポイント
- IPアドレスやMACアドレスを自動的に収集し未登録機器をブロック
- コンピューター名取得や接続機器の判定も可能
- 巧妙化する脅威にはエンドポイントセキュリティ
株式会社ソフトクリエイトが提供する『L2Blocker』はセンサーを設置するだけで使えるアプライアンス型セキュリティシステムです。センサーでIPアドレスやMACアドレスを自動的に収集して端末を検知・制御します。さらにコンピュータ名取得や接続機器の判定もできるので、IT機器のIPアドレス台帳が自動で作成されます。
また、ポリシーチェックやドメイン未参加端末の検知機能により、エンドポイントセキュリティ対策も徹底できるでしょう。WindowsPCはもちろん、Macintosh、Linux、UnixのPC、AndroidやiPhoneなどのスマホ、タブレットも制御可能です。
Basic IPCC の比較ポイント
- 社内と社外を自動判別!
- 管理者の作業負荷軽減!
- 通信手段を自動判別
『Basic IPCC』は株式会社ベーシックが提供する接続先限定ソリューションです。利用状況を自動で判別し、社外で利用しているときだけネットワーク制御を行います。接続先はあらかじめ設定するので、社外であっても社内と同じポリシーが適用されます。
また導入に際しては、社内のインフラを改修する必要なく、インストールするだけで使えるので工数がかかりません。設定から導入までのサポートがあるので管理者の負担が少ない点もメリットでしょう。
INTERLINE株式会社が提供する『IPKeeper』は、管理ノード1万以上での大規模ネットワークに対応しているネットワークIP管理ソリューションです。最大で管理ノード5万台に対応した実績があります。アクセスコントロールは内部遮断・外部遮断・完全遮断の三段階で行います。
さらに、遮断期間を設定して自動で実行させるスケジュール遮断機能を搭載しているほか、グループや部署間でのアクセス制御も細かく設定できます。スイッチやルータ等、既存ネットワーク構成の変更がいらないため、簡単に設置できるでしょう。
『セキュリティ簡単導入パック』は、OrangeOne株式会社が提供する「Microsoft 365」の導入・運用支援サービスです。高セキュリティな機能が使える「Microsoft 365 Business Premiumプラン」の導入を支援し、設定などを代行してくれます。
Microsoft 365 Business Premiumプランでは、クラウドベースの認証サービスを提供する「AzureAD」を認証基盤としており、IDやPCの管理を行うことでアクセスを制御します。加えてデバイス管理ツールである「Microsoft Intune」を通してPCの設定や動作環境を一元管理し、ウイルス対策やOS・ブラウザの更新管理などを行います。
ナレッジスイート株式会社が提供する『ROBOT ID』は、複数のアカウントや、ID、パスワードを一括で管理するクラウド型製品です。従来のパスワード認証よりも安全性の高いインターネット標準規格である「FIDO2」に対応しているため、パスワード不要の生体認証でスピーディーなログインも可能です。
また、ログイン可能なアプリや、ログインパスワードの強度(文字の数や種類)を設定することでセキュリティを高めます。加えて、認証情報の変更や雇用・退職に伴う社員情報の更新を、一括で実現する管理機能も魅力です。
こちらの『L2Blocker』は株式会社 USEN ICT Solutionsが提供するアプライアンス型製品です。ネットワークに専用機器を接続することで、ネットワーク内の不正な端末を検知・ブロックします。
「端末の収集だけ行うモード」「自動ブロックしないモード」「自動ブロックモード」を切り替えることができるので、端末の台帳がない状態でも利用可能です。
『トラスト・ログイン』はGMOグローバルサイン株式会社が提供するクラウド型製品です。社員だけでなく、一時的なゲストユーザーや退職者のアクセスもコントロールできます。また、社員のログイン情報をまとめられるのが特徴です。
社員個人にパスワード管理を任せなくてよいため、安全性が高まります。
おさらい:アクセスコントロールとは
アクセスコントロールとは、ユーザーのアクセス権限を設定することです。どの権限を持つユーザーがどこまでアクセスできるのかを、管理者がコントロールできます。
情報流出において防がなければならないのは、外部からの攻撃だけではありません。社内の人物が情報を持ち出した事例も存在します。アクセスコントロールは、そのような内部不正を防ぐためにも必要です。
アクセスコントロールの基本機能
アクセスコントロールの主要な3つの機能を見ていきましょう。
1.端末の識別・認証
アクセスコントロールは端末を識別・認証し、権限によってアクセスを制限します。その認証方法を4つ紹介します。
パスワードによる認証
パスワード認証はもっとも基本的な認証方法です。ユーザーは自身のIDとパスワードを入力し、その組み合わせが正しい場合にアクセスが許可されます。
簡便な方法ではありますが、第三者にIDとパスワードが流出すると簡単に不正なアクセスを許してしまうのが難点です。また、最近では多くのサービスでパスワードの利用が求められ、管理が大変であることも問題視されています。
電子証明書による認証
電子証明書は、端末にインストールされている認証用のデータです。アクセスコントロールシステムは、端末の電子証明書を確認し、正規のユーザーと認められた場合にアクセスを許可します。端末が保有する身分証明書のようなものだと考えましょう。
偽造が困難なうえ、パスワードのように容易に第三者の手に渡る可能性も低いため、高い信頼性を誇ります。
アドレスによる認証
端末のMACアドレスをもとに認証を行う方法です。MACアドレスとは、機器ごとに製造時に割り振られるアドレスです。具体的には、無線LANカードやEthernetカードなどに割り振られます。
MACアドレスは一度割り当てられると変更はできないため、なりすましの被害に遭う可能性が低い認証方法といえます。
2要素を用いた認証
2要素認証とは、その名のとおり2種類の方法で認証を行うことです。基本的には、パスワード・IDによる認証に、別の認証方法を加えたものを指します。電子証明書や、指紋などによる生体認証と組み合わせることが多いです。
身近な例では、パスワードとカードあるいは通帳による認証を組み合わせたATMなどで使われています。
1種類の認証方法だけを採用するより、安全性が高くなるのがメリットです。特にIDやパスワードのみの認証は不正アクセスの被害に遭いやすいため、2要素認証の利用が推奨されます。
2.端末の検知・排除
アクセスコントロールシステムは、不正と判断された端末のアクセスを検知・排除しなければなりません。そのための機能を2つ紹介します。
未承認端末の制御
認証が成立しなかった端末は、未承認の端末としてアクセスを制御します。たとえ社内の従業員の端末であっても、未承認であればアクセスを許しません。
最近では、1人の従業員が複数の端末を持っているケースが増えています。業務で使うパソコンに加え、私物のスマートフォンやタブレットを所有していることが多いです。
それらの端末が、不正にアクセスできないよう制御が必要です。ユーザーに悪意はなくても、端末に潜むウイルスが社内のネットワークに被害をもたらす可能性があるからです。
ポリシー違反端末の制御
企業ではセキュリティポリシーを設定する義務があります。
セキュリティポリシーとは、セキュリティ対策に関する指針のことです。社内の情報を守るために設定し、それが実際に守られているか管理しなければなりません。アクセスコントロールシステムはそのための機能も備えています。
たとえば、多くの企業のポリシーでは、データ流出の可能性が高いアプリのインストールを禁じています。そのほか、業務の妨げとなるゲームや動画アプリのインストールを禁じている企業も多いでしょう。
アクセスコントロールシステムはそのようなアプリを検知し、ネットワークからの遮断や警告の表示を行います。
3.ログ管理
ログ管理機能では、ネットワーク内におけるユーザーの行動をログとして残します。具体的には、以下のようなログを管理できます。
- 認証ログ
- いつ誰が認証したか
- アクセスログ
- いつ誰がアクセスしたか
- ユーザー操作ログ
- ユーザーの行動
- 管理者操作ログ
- 管理者の行動
- 未設定端末ログ
- 認証されていない端末の記録
企業では非常に多くの関係者がネットワークにアクセスするため、ログの管理が大変です。アクセスコントロールシステムのログ管理機能は、日付やユーザーをもとに簡単にログを検索できます。
また、グラフでのログ出力やリアルタイムでのログ監視など、管理を円滑化する補助機能も備わっています。
アクセスコントロールを正しく行うためのポイント
アクセスコントロールはシステムを導入して終わりではありません。適切にシステムを運用してこそ効果が得られます。そのために、ポリシーの明確化と浸透が不可欠です。
ポリシーは時代の変化とともに更新しなければなりません。たとえば、1人のユーザーが複数の端末を持つようになったのは、スマホやタブレットが普及してからです。それ以前には、複数の端末によるアクセスが問題となることはありませんでした。
IT技術の進歩やビジネス環境の変化に伴い、今後もポリシーを更新していく必要があるでしょう。そして、設定したポリシーは社内に浸透させなくてはなりません。セキュリティに関する社員教育の場を積極的に設けるなどの対策を行いましょう。
そのほか、システムによるコントロールだけでなく、物理的なコントロールも組み合わせると効果的です。オフィスの入退室管理に指紋認証を設けるなどすれば、端末や保存媒体の物理的な盗難を防げます。
アクセスコントロールシステムを比較し最適な製品を導入しよう
アクセスコントロールシステムのおすすめ製品を比較して基本機能を紹介しました。アクセスコントロールシステムは、以下の3つの機能でネットワークへのアクセスを管理しています。
- 【認証】
- パスワード、電子証明書、アドレス、2要素
- 【端末の検知・排除】
- 未承認端末の制御、ポリシー違反端末の制御
- 【ログ管理】
- ネットワークにおけるユーザーの行動を記録・管理する
セキュリティポリシーを設定し、適した製品を導入しましょう。各製品の詳しい情報を知りたい場合は、ぜひ資料請求してみてください。