アクセス制御とは？目的や導入のポイントを解説

アクセス制御とは

コンピュータシステムにおいて、特定ユーザーのみがアクセスできるように管理者で制御を行うことを「アクセス制御」といいます。

アクセス制御は、企業のシステムではもちろん、一般消費者が普段利用するサービスなどでも数多く利用されている仕組みです。この仕組みの導入により、情報にアクセスをする権限がある人だけが該当の情報を閲覧したり操作したりできるようになります。

アクセス制御の目的

アクセス制御には「外部からの攻撃を阻止する」「内部不正を防ぐ」という2つの目的があります。

外部からの攻撃を阻止して情報漏洩を防ぐ

アクセス制御を行うと、権限のない外部の人が情報にアクセスできなくなります。例えば悪意を持って企業や組織の情報を盗もうとした場合でも、該当の情報にアクセスできなければ情報が漏洩するリスクを下げることが可能です。

もし不正アクセスを受けてしまった場合には、企業や組織の情報が奪われることに加えて、社会的な信用を失ってしまう可能性もあります。このような状況を防ぐためにも、アクセス制御は非常に重要です。

内部不正による情報漏洩を防ぐ

企業の内部においても、誰もが情報にアクセスできる状況にしておくことは望ましいとはいえません。実は、内部からの流出が情報漏洩の原因のひとつとなっているためです。

情報漏洩のリスクを抑えるためには、会社の内部においてもアクセス制御によって必要な人物のみが必要な情報にアクセスできるという状況にしておくことが大切であるといえるでしょう。

アクセス制御の基本機能

アクセス制御には、「認証」「認可」「監査」という3つの基本機能があります。それぞれどのような機能なのかをご紹介します。

認証

ユーザーがログインを行う際に許可・拒否を行う機能が「認証」です。アクセスをしようとしているユーザーのIDやパスワードなどによってアクセスをして良いかどうかを制御していきます。認証にはワンタイムパスワードや生体認証、電子証明書などが使用される場合もあります。

認可

アクセスが許可されたユーザーごとに、どこまでの操作ができるかといった範囲を制限する機能が「認可」です。この機能によって、ユーザーはあらかじめ定められている制御リストに基づいて、決められた範囲内での操作が可能となります。このように、まずは認証によってそのユーザーがアクセス可能かどうかの判定を行い、その後に認可によって操作できる範囲を振り分けていきます。

監査

認証や認可を行ったログの記録を行う機能が「監査」です。アクセス履歴の記録によって、認証・認可の正当性を検証して改善に役立てていくことが可能になります。もし不正ログインの疑いが生じてしまった場合にも、ログの確認によってスピーディーな対応が行えるようになります。

アクセス制御方法

アクセス制御を行う場合には、「任意アクセス制御」「強制アクセス制御」「役割ベースアクセス制御」「属性ベースアクセス制御」という4つの方法があります。ここではそれぞれの方法について解説します。

任意アクセス制御（DAC）

「任意アクセス制御（DAC：Discretionary Access Control）」とは、ユーザーにアクセス制御の権限を付与する方法です。

この方法は一般的に用いられている方法となっています。例えば、企業の中で社員がファイルを作成した場合に、その社員自身によって「作成したファイルに誰がアクセスできるか」を決められます。

それぞれのユーザーが自身で管理を行っていく方法であることから、管理者やセキュリティ担当者がアクセス制御に介在する必要はありませんが、ルールが統一されていない場合には管理方法がバラバラになってしまうという面もあります。

強制アクセス制御（MAC）

「強制アクセス制御（MAC：Mandatory access contro）」は、システム管理者やセキュリティ担当者など、決められた人によってアクセス制御のルールを決定する方法です。

管理者やセキュリティ担当者など決められた人以外は自由にアクセス制御をコントロールできないため、機密情報を取り扱う場合にはこの強制アクセス制御を用いることが推奨されます。

役割ベースアクセス制御（RBAC）

「役割ベースアクセス制御（RBAC：Role-based access control）」とは、その名の通り、役割（役職）ごとにアクセス範囲・利用可能な機能を制御する方法です。任意アクセス制御と強制アクセス制御の中間に位置する制御方法であるといえます。

それぞれのユーザーを役割（役職）ごとに振り分け、その役割（役職）において決められた範囲でしか操作ができない、といった制御が可能になります。

属性ベースアクセス制御（ABAC）

「属性ベースアクセス制御（ABAC：Attribute-based access control）」は、属性によってアクセス制御を行っていく方法です。ここで使われる属性には「アクセス元のIPアドレス」「部門」「役職」「時間」といったものが挙げられます。

例えば、「この情報には社内ネットワークからのみアクセスできるようにする」といった制御や「このサイトには10時から20時までの間アクセスできるようにする」といった使い方が可能。細かくアクセス制御が行える方法です。

アクセス制御導入のポイント

アクセス制御を簡単に行うには、ソフトの導入を行うことが選択肢のひとつです。ここでは、アクセス制御ソフトを導入する際のポイントについてご紹介していきます。

性能

現在、さまざまなアクセス制御ソフトが販売されていますが、それぞれのソフトによって性能や機能が異なります。そのため、まずは自社がアクセス制御ソフトにどのような機能を求めるのかを洗い出すことが大切です。シンプルなアクセス制御のみで良いのか、またセキュリティ機能まで網羅して欲しいのかといった点を確認した上で、そのニーズを満たす機能・性能を持ったソフトを選択することがポイントです。

動作の軽さ

「動作の軽さ」もソフトを選択する上では重要です。導入した後に社内ネットワークへのアクセスが重くなるなど影響が出てしまうのは望ましい状況とはいえません。スムーズに業務を進めるためにもこの点はしっかりと確認しておきたいところです。

ただし、実際に使ってみないとわからない部分もありますので、まずはそのソフトを提供している会社に対し、ネットワーク環境やアクセス速度などにどれくらい影響が出る可能性があるのかといった点を確認しておきましょう。

インストール台数

ソフトを導入する際には、ユーザー数をあらかじめ確認してその数に対応できるソフトを選択していきます。ユーザー数や端末数が多いほど導入費用も高額になる傾向があるため、どのくらいのユーザーが使用するのかといった点はしっかりと確認しておくことが大切です。

具体的な運用が可能か

ソフトの導入後、まずは自社に合った設定などを行う必要があります。もちろん提供会社によるサポートを受けられるケースが多いと考えられますが、導入から運用まではどのような流れになり、どのような準備や作業が必要になるのかをあらかじめ確認しておきましょう。その上で自社で運用が可能かどうかを確認しておくことも、アクセス制御ソフトを導入する際のポイントといえます。