企業の重要なデータを守り安全に業務を行うためには、アクセス制御による効率的なセキュリティ対策が必要です。この記事では、企業のセキュリティ対策として採用されているアクセス制御の概要や、アクセス制御の代表的な機能、制御方式、設定方法について解説します。
アクセス制御の概要
アクセス制御とは、ネットワークやコンピューター、Webサイトなどへのアクセスを許可したりブロックしたりする機能のことです。適切な制御により、管理者に承認されていない者が自社のコンピューターなどへ不正にアクセスするリスクを防げます。
アクセス制御はおもに企業の情報管理などで採用される機能です。社外からの不正なアクセスを防止するだけでなく、社内でも一部の人間にしかオープンにされていない機密情報を守るために使われています。アクセス制御が設定されている場合には、たとえ社内からであっても、閲覧や編集権限のない社員はネットワークやデータにアクセスできません。
アクセス制御がリモートワーク推進下ではより重要に
新型コロナウイルスの感染拡大に伴ってリモートワークが推進されている近年では、セキュリティ対策を強化するためアクセス制御がより重要になってきています。リモートワークの推進により多くの企業がクラウドへの移行を進めていることもあり、企業は万全な情報セキュリティ対策を行う必要があります。
従来では、社外からの接続は危険性のある接続で、社内からの接続は安全で問題がないと考えられていました。社外とは世界中から接続できるインターネットのことで、社内は社内LANなどの一般的には公開されず外からは接続できないネットワーク環境を指します。これまでの社内LANでは、機密情報などの重要なデータがインターネットなどのオープンなネットワーク上に置かれていませんでした。
しかし、ネットワークの発達に追随するかのように、世界では次々と新しいマルウェア や ウィルスが登場しています。データをマルウェア や ウィルスなどから守り、ネットワーク上のさまざまなリスクを避けるために、現在では「ゼロトラスト」といったセキュリティの考え方が注目を集めています。
ゼロトラストとは、何も信頼せず、全ての脅威に対してセキュリティ対策をとる方法です。外部からの不正アクセスはもちろん、内部からの情報漏洩に対しても、通信経路の暗号化やユーザー認証の強化などを行います。さまざまなセキュリティ対策をとることで、情報管理を強化し、より安全性を高めるのです。また、アクセス情報を記録、管理できるため、コンプライアンス遵守に役立つコンプライアンスレポートを作成する機能も活用できます。
アクセス制御に代表される3つの機能
アクセス制御には、おもに「認証」、「認可」、「監査」の3つの機能があります。それぞれの機能でアクセス権限を付与して利用できる人を制限し、不正なアクセスを防止できます。
1.「認証」:アカウントの正当性の確認
認証機能とは、ネットワークやコンピューター、サイトなどにログインできる人物かどうかを確認する機能のことです。認証では、権限を持つ限られた利用者やアカウントのみのログインを許可して、それ以外のログインを防止します。認証時には、権限を持つ利用者・アカウントを特定するIDと、IDと組み合わせて利用者が本人かどうかを確認するパスワードを使用します。パスワード以外に、利用者の手元にあるカードの記載情報確認や、指紋・網膜のスキャンによる本人確認でログインする生体認証などもあります。
認証では、IDとパスワードの組み合わせでログインする仕組みが一般的です。ところが、パスワードだけでは、登録している情報が漏れてしまったときに誰でもログインができてしまうデメリットもあります。第三者による不正なログインを防止するため、現在は、複数の認証方式を組み合わせる多要素認証の利用も増加しています。
2.「認可」:アクセス範囲を限定する認可
認可とは、認証後の利用者が管理者の設定した条件においてのみアクセスを許可される仕組みです。管理者が設定した条件はアクセスコントロールリスト(ACL)にまとめられ、ACLの条件に合った利用者に対しネットワークやWebサイト内のアクセスが制御されます。
ネットワークやWebサイト内には、利用者全員がアクセスできるエリアや条件に合った利用者だけがアクセスできるエリアがあります。ACLの条件に合わせて自動的にアクセス可能エリアが判別されるため、利用者側の操作とは関係なくエリアが制限されている状態です。
この認可機能により、社内ネットワークでは役職者・管理職のみが共有できる文書、部門内でのみ共有できる文書など、利用者によって閲覧・編集を制限可能です。認可の設定で必要な利用者だけにアクセス可能な範囲を限定できるので、社内における情報漏えい防止や、文書の保護にも役立ちます。
3.「監査」:アクセス認証や認可を記録する監査
アクセス制御の監査とは、利用者がアクセス時に行った認証や認可の履歴をログで残し、管理する機能のことです。ログが履歴として残っていると、あとから確認できるため、ログ情報から認可条件の見直しが行えます。ログを分析、確認して条件を修正するとアクセス制御の精度を高められるため、セキュリティの向上が期待できます。
監査では、ログ情報から不正なアクセスがなかったか確認可能です。ログには「アクセス日時、操作履歴、利用者」等のデータが残ります。もし不正アクセスが行われた場合には、過去のログ情報から不正な利用者や不正アクセスの方法を特定できるため、今後のセキュリティ対策に役立てられます。
代表的な3種類のアクセス制御方式
アクセス制御の代表的な制御方式は3種類あります。任意アクセス制御、役割ベースアクセス制御、強制アクセス制御の3つの制御方式により、社内の情報を効率よく制御できます。
1.任意アクセス制御
任意アクセス制御は、多くの企業で採用されている最も一般的な制御方式です。英語では「Discretionary access control」、省略してDACとも呼ばれています。任意アクセス制御では管理者が管理をせずに、利用者一人ひとりが自分でアクセスの管理を行います。
利用者が自分で作ったファイルに対してその都度「読み取り(Read)」、「書き込み(Write)」、「実行(Execute)」の権限を持つ人を決めることが可能です。本人だけしか閲覧、編集できない設定にしたり、部門やチームなど、ファイル共有が必要なグループを作って利用権限を付与したりできます。また、誰でもファイルが使えるように、全く制限をかけないことも可能です。
自分でファイルを作る度に必要に応じてアクセス制御の設定ができるため、管理者がその都度制御の処理を行う手間がかかりません。利用者にとっても、自分で手軽に権限を決められるため自由度が高いというメリットがあります。ただし、任意アクセス制御では利用者が全て自分で行うことから、管理を統一できず、セキュリティ面での不安が残ります。社内のセキュリティルールを設定して管理を徹底する、重要な情報の管理にはほかの制御方式を活用するなどの対策をとり、セキュリティ強化を図ることが大切です。
2.強制アクセス制御
強制アクセス制御は、英語で「Mandatory access control」、MACとも呼ばれる、任意アクセス制御よりもセキュリティリスクの低い制御方式です。管理者だけがアクセス権限のルールを設定できるため、それ以外の利用者やシステム所有者にはルールの変更、設定が行えません。管理者のみが管理を行っているため、管理者への負担は増加しますが、ファイルなどの情報管理の統制がとりやすくなり、高いセキュリティが期待できます。
強制アクセス制御方式では、利用者を操作主体として「サブジェクト」、アクセスされる操作対象ファイルなどは「オブジェクト」と呼びます。サブジェクトとオブジェクトには、管理人が信頼度や機密性に応じてラベルを割り当てます。このラベルによってアクセス権限が決まり、サブジェクトのラベルがオブジェクトのラベル以上のケースでアクセスができる制御方式です。セキュリティの高さから、こちらも多くのシステムで採用されている方法です。
3.役割ベースアクセス制御
役割ベースアクセス制御は、英語の「Role-based access control」を略してRBACとも呼ばれている制御方式です。任意アクセス制御や強制アクセス制御よりも新しい制御方式で、2つの方式の中間的な仕組みといえます。RBACの原則は、2004年に米国国家規格協会(ANSI)によりIT業界のコンセンサス標準としても選ばれています。
また、Azure ADにおけるリソースへのアクセス権管理方法もこの制御方式です。データ分析に活用されるマイクロソフト社のPower BIは、Microsoft Cloud App Securityポータルと連携した、高いセキュリティが特徴のツールですが、Azure ADを使用して認証が可能で、アクセスにはPower BIログイン資格情報が使用されます。分析データなどの重要情報を、アクセス制御で保護しながら活用できます。
役割ベースアクセス制御は、管理者や利用者といった「人」ではなく、システム内の「役割(ロール)」に対して権限を割り当てる方式です。管理者がロールを設定してロールに権限を付与し、利用者には業務に応じたロールを割り当てます。
アクセス制御方法は、管理者が個人一人ひとり個別にアクセス許可を設定する必要がなく、同じ業務内容の利用者に対しロールを設定してから個人に割り当てます。このため、一度に複数の利用者に対してまとめて設定できるというメリットがあります。人数に関係なくまとめてアクセス制御を実施でき、変更時にも手間をかけずに行えるため、管理者の負担が大幅に軽減されます。設定作業が簡易化されるため、セキュリティ管理のエラー削減にもつながります。
役割ベースアクセス制御では、「セキュリティプリンシパル」と「ロール」「スコープ」の選択・定義を適切に行わなければなりません。ユーザー、グループなど割り当ての対象を設定し、対象者に閲覧者、共同制作者、所有者など、もしくは、カスタムで作成したロールを割り当てます。アクセス権が適用されるリソースは、管理グループやサブスクリプションなどのスコープから選択します。
おもに2種類の設定があるアクセス制御
Windowsに搭載されているサーバーマネージャーを用いたアクセス制御の設定には、おもに「グローバル」と「サーバーインスタンス」の2種類があります。グローバルなアクセス制御は、全てのアカウントに対してアクセス制御をする方法で、サーバーインスタンスのアクセス制御は特定のサーバーインスタンスに対してアクセス制御を設定する方法です。
グローバルアクセス制御は、分散管理設定を有効にしてから管理サーバーの「Global Settings」タブをクリックして設定していきます。さらに「Administer Access Control」のリンクをクリック、ドロップダウンリストの管理サーバーで「GO」をクリック、データをロードしてからADLを追加もしくは選択します。プロンプトを認証すると「Access Control Rules」ページが表示されるので、「Access Control Is On」チェックボックスにチェックを入れます。テーブルの最下行へのACL規則の追加は「New Line」ボタンで行い、アクセス制御の制限位置変更は、上・下向きの矢印で設定可能です。
この設定後にユーザーやグループなど、アクセス制限したい人を選択します。「Users/Groups」列にある「Anyone」を選択、「Users/Groups」ページからユーザーやグループを選びます。ホストは、「From Host」列の「Anyplace」で「From Host」ページを開いて選択、アクセスを許可するファイル名を入力した後で、「Update」、「Submit」をクリックすると、グローバルなアクセス制御が完成します。
サーバーインスタンスに対するアクセス制御は、サーバーマネージャーから設定を行えます。事前に1つ以上のACL規則を作成しておかないと、サーバーを起動したときにエラーが発生するため注意が必要です。サーバーマネージャーにアクセスしてから、サーバーインスタンスを選び「Preferences」をクリックします。その後「Administer Access Control」リンクをクリック、ACLを選択し「Edit」を選ぶと、「Access Control Rules For」ページの表示が可能です。「Access control Is On」にチェックを入れ、ACL規則追加時に「New Line」をクリックします。
サーバーインスタンス用のACL編集は「Action」列でアクションを選びます。「Allow/Deny」ページが表示されたら、選択されていない場合「Allow」、「Update」をクリックします。アクセス許可するユーザーやグループは、「Users/Groups」列の「Anyone」で選びます。ホストは、「From Host」列の「Anyplace」からホスト名とIPアドレスを入力して決定します。
ユーザーの権限指定は、「Rights」列の「All」をクリックして表示される、「Access Rights」で設定し、完了した際は「Update」、保存するときは「Submit」をクリックします。
まとめ
アクセス制御を実施すると外部からの不正アクセスや内部での権限を有しないユーザーからのデータ保護などが可能になります。一方でクラウドサービスではこの辺りの機能がない、またはオプションとして提供されるものも多くあります。そういった際にはHENNGE OneのようなIDaaSの利用がおすすめです。
HENNGE Oneでは、Microsoft 365やGoogle Workspaceなど、ビジネスで多用されるクラウドサービスに対して認証基盤として機能します。ぜひ検討してみてはいかがでしょうか。
