企業の重要なデータを守り、安全に業務を行うためには、アクセス制御による効率的なセキュリティ対策が必要です。本記事では、企業のセキュリティ対策として採用されているアクセス制御の概要やアクセス制御の代表的な機能、制御方式、設定方法について解説します。
アクセス制御の概要
アクセス制御とは、ネットワークやコンピューター、Webサイトなどへのアクセスを許可したり、ブロックしたりする機能のことです。適切な制御を実施することにより、管理者に承認されていない者が自社のコンピューターなどへ不正にアクセスするリスクを防げます。
アクセス制御はおもに企業の情報管理などで採用される機能です。社外からの不正なアクセスを防止するだけでなく、社内でも一部の人間にしかオープンにされていない機密情報を守るために使われています。
アクセス制御の目的
アクセス制御の目的は、セキュリティを強化し、機密情報を保護することです。企業には、顧客情報はもちろん、ビジネスに関するノウハウなどを含め、さまざまな機密情報が管理・保存されています。社内の誰もが自由に、これらの重要な情報にアクセスできる状況は、外部への流出リスクが非常に高いと考えられます。自社の従業員が勝手に情報を持ち出して、外部へ流出させてしまい、企業に甚大な被害をもたらすおそれもあります。
このようなリスクを回避するための仕組みがアクセス制御です。アクセス制御環境下では、権限を与えられたユーザーだけが当該情報にアクセスすることが可能です。例えば、社内ネットワークにアクセス制御を設定し、適切なアクセス権限を付与することによって、内部の不正アクセスによる情報漏えいのリスクを大幅に軽減できます。
さらに、外部の不正アクセスから社内の機密情報を守ることもアクセス制御の目的のひとつです。企業の運用するサーバーが悪意を抱く第三者から攻撃を受けて、情報を奪われるケースはめずらしくありません。適切なアクセスコントロールを実施することによって、このようなリスクを回避できます。
アクセス制御の具体例
くわしくは後述しますが、アクセス制御は大きく分けて「認証」「認可」「監査」の三つで構成されます。例えば、ECサイトやGmailをはじめとしたWebメールなど、一般公開されているWebサイトのログイン機能は認証の代表的な例です。ログイン機能によって、会員登録されたユーザーかどうかの識別や、利用できる機能を制限することを実現しています。
認可は、サーバー上に保存された顧客情報へのアクセスは管理職以上に限定するといった設定が該当します。一般の従業員までもが機密情報にアクセスできるという状況はセキュリティ上、好ましいとはいえません。そこでアクセス制御を実施し、管理職や経営陣など、特定のユーザーのみがアクセスできるようにコントロールします。
アクセス制御が正しく設定されているかを確認できるだけでなく、万が一不正アクセスが発生した際に、どのユーザーが、いつ、どの情報にアクセスしたのかをトレース可能にする機能が監査です。セキュリティ体制の分析および対策・強化に活用できます。
企業のDXとアクセス制御
デジタル技術の急速な発展やグローバルサウスの台頭、為替相場の大きな変動、労働人口の減少による人材難などのさまざまな理由で、国内企業の経営は従来にも増して厳しくなってきています。近年、経済産業省を中心に国を挙げてDXの推進を叫びはじめたのにはこのような背景があります。DXの推進によって生産性を向上させ、競争力を強化することで、企業は厳しい環境のなかで生き残りを図ろうとしています。DXの推進と企業のデジタル化とは表裏一体をなすものであり、デジタルデータで保存される機密情報のセキュリティ面には十分配慮しなくてはなりません。
従来は、社外からの接続は危険性のあるアクセスで、社内からの接続は安全で問題がないと考えられていました。社外とは世界中から接続できるインターネットのことで、社内は社内LANなどの一般的には公開されず、外からは接続できないネットワーク環境を指します。安全であることが前提の社内LANでは、機密情報などの重要なデータも比較的、無防備な状態でネットワーク上に置かれていました。
しかし、ネットワークの発達に追随するかのように、世界では次々と新しいマルウェアやウイルスが登場しています。データをマルウェアやウイルスなどから守り、ネットワーク上のさまざまなリスクを避けるために、現在では「ゼロトラスト」といったセキュリティの考え方が注目を集めています。
ゼロトラストとは「何も信頼せず、すべての脅威に対してセキュリティ対策を取る」という考え方です。外部からの不正アクセスはもちろん、内部からの情報漏えいに対しても、通信経路の暗号化やユーザー認証の強化などを行って対策します。さまざまなセキュリティ対策を取ることで、情報管理を強化し、より安全性を高めようという取り組みです。アクセス情報を記録・管理し、コンプライアンス遵守に役立つコンプライアンスレポートを作成する機能もゼロトラストの考え方によるものです。
アクセス制御に代表される3つの機能
前述した通り、アクセス制御はおもに「認証」「認可」「監査」の各機能で構成されます。それぞれの機能でアクセス権限を付与して利用できる人を制限し、不正なアクセスを防止します。
1. 「認証」:アカウントの正当性の確認
認証とは、ネットワークやコンピューター、サイトなどにログインできる人物かどうかを確認する機能です。権限を持つ限られた利用者やアカウントのみのログインを許可し、それ以外のログインをブロックします。認証時には、権限を持つ利用者・アカウントを特定するIDと、IDと組み合わせて利用者が本人かどうかを確認するパスワードを使用します。パスワード以外に、利用者の手元にあるカードの記載情報確認や、指紋・網膜のスキャンによる本人確認でログインする生体認証などもあります。
認証では、IDとパスワードの組み合わせでログインする仕組みが一般的です。しかし、IDとパスワードだけでは、登録情報が漏れてしまったときに、誰でもログインができてしまう危険性があります。第三者による不正なログインを防止するため、現在は、複数の認証方式を組み合わせる多要素認証の利用も増加しています。
2. 「認可」:アクセス範囲を限定する認可
認可とは、認証後の利用者が管理者の設定した条件でアクセスを許可される仕組みです。管理者が設定した条件はアクセスコントロールリスト(ACL)にまとめられ、ACLの条件に合致した利用者に対してネットワークやWebサイト内のアクセスが制御されます。
ネットワークやWebサイト内には、利用者全員がアクセスできるエリアだけでなく、条件に合致した利用者だけがアクセスできるエリアもあります。ACLの条件に照らし合わせて自動的にアクセス可能エリアが判別されるため、利用者側の操作とは関係なく、エリアが制限されます。
認可機能によって、社内ネットワークでは「役職者・管理職のみが共有できる文書」「部門内でのみ共有できる文書」など、利用者によって閲覧・編集を制限することが可能です。認可の設定で必要な利用者だけにアクセス可能な範囲を限定できるので、社内における情報漏えい防止や、文書の保護にも役立ちます。
3. 「監査」:アクセス認証や認可を記録する監査
監査とは、利用者がアクセス時に行った認証や認可の履歴をログで残し、管理する機能です。ログが履歴として残っていると、あとから確認できるため、ログ情報から認可条件の見直しが行えます。ログを分析・確認して条件を修正すると、アクセス制御の精度を高められるため、セキュリティの強化が期待できます。
監査では、ログ情報から不正なアクセスがなかったかどうかを確認することも可能です。ログには「アクセス日時、操作履歴、利用者」などのデータが残ります。万が一不正アクセスが行われた場合でも、過去のログ情報から不正な利用者や不正アクセスの方法を特定できるため、今後のセキュリティ対策に役立てられます。
代表的な4種類のアクセス制御方式
アクセス制御の代表的な方式として「任意アクセス制御」「強制アクセス制御」「役割ベースアクセス制御」「属性ベースアクセス制御」の4種類があります。ここでは各方式の制御内容をくわしく見ていきます。
1. 任意アクセス制御(DAC)
任意アクセス制御は、多くの企業で採用されている最も一般的な制御方式です。英語では「Discretionary Access Control」、省略してDACとも呼ばれています。任意アクセス制御では管理者が管理をせずに、利用者一人ひとりが自分でアクセスを管理します。
利用者が、自分で作ったファイルに対してそのつど「読み取り(Read)」「書き込み(Write)」「実行(Execute)」の権限を持つ人を決めることが可能です。本人だけしか閲覧・編集できない設定にしたり、部門やチームなどのファイル共有が必要なグループを作って、利用権限を付与したりできます。また、誰でもファイルが使えるように、まったく制限をかけないことも可能です。
自分でファイルを作るたびに必要に応じてアクセス制御の設定ができるため、管理者がそのつど制御の処理を行う手間がかかりません。利用者にとっても、自分で手軽に権限を決められるため、自由度が高いというメリットがあります。ただし、任意アクセス制御では利用者がすべて自分で行うことから、管理を統一できず、セキュリティ面での不安が残ります。社内のセキュリティルールを設定して管理を徹底したり、重要な情報の管理にはほかの制御方式を活用したりといった対策を取り、セキュリティ強化を図ることが大切です。
2. 強制アクセス制御(MAC)
強制アクセス制御は、英語で「Mandatory Access Control」、MACとも呼ばれる、任意アクセス制御よりもセキュリティリスクの低い制御方式です。管理者だけがアクセス権限のルールを設定できるため、それ以外の利用者やシステム所有者にはルールの変更・設定が行えません。管理者の負担は増加しますが、ファイルなどの情報管理の統制がとりやすくなり、高いセキュリティが期待できます。
強制アクセス制御方式では、利用者を操作主体として「サブジェクト」、アクセスされる操作対象ファイルなどは「オブジェクト」と呼びます。サブジェクトとオブジェクトには、管理人が信頼度や機密性に応じてラベルを割り当てます。ラベルによってアクセス権限が決まり、サブジェクトのラベルがオブジェクトのラベル以上のケースでアクセスができる制御方式です。セキュリティの高さから、こちらも多くのシステムで採用されています。
3. 役割ベースアクセス制御(ロールベースアクセス制御/RBAC)
役割ベースアクセス制御は、英語の「Role-Based Access Control」を略してRBACとも呼ばれている制御方式です。任意アクセス制御や強制アクセス制御よりも新しい制御方式で、二つの方式の中間的な仕組みです。RBACの原則は、2004年に米国国家規格協会(ANSI)によりIT業界のコンセンサス標準としても選ばれています。
Azure ADにおけるリソースへのアクセス権管理方法もこの制御方式です。データ分析に活用されるマイクロソフト社のPower BIは、Microsoft Cloud App Securityポータルと連携した、高いセキュリティが特徴のツールですが、Azure ADを使用して認証することが可能で、アクセスにはPower BIログイン資格情報が使用されます。分析データなどの重要情報を、アクセス制御で保護しながら活用できます。
役割ベースアクセス制御は、管理者や利用者といった「人」ではなく、システム内の「役割(ロール)」に対して権限を割り当てる方式です。管理者がロールを設定してロールに権限を付与し、利用者には業務に応じたロールを割り当てます。
アクセス制御方法は、管理者が個人一人ひとり個別にアクセス許可を設定する必要がなく、同じ業務内容の利用者に対しロールを設定してから個人に割り当てます。このため、一度に複数の利用者に対してまとめて設定できるというメリットがあります。変更時にも手間をかけずに行えるため、管理者の負担が大幅に軽減されます。設定作業が簡易化されるため、セキュリティ管理のエラー削減にもつながります。
役割ベースアクセス制御では、「セキュリティプリンシパル」と「ロール」「スコープ」の選択・定義を適切に行わなければなりません。ユーザー、グループなど割り当ての対象を設定し、対象者に閲覧者、共同制作者、所有者など、もしくはカスタムで作成したロールを割り当てます。アクセス権が適用されるリソースは、管理グループやサブスクリプションなどのスコープから選択します。
4. 属性ベースアクセス制御(ABAC)
属性ベースアクセス制御は、ユーザー属性にもとづいてアクセス権限を判断する仕組みです。英語では「Attribute Based Access Control」で、略してABACとも呼ばれます。識別に用いられるユーザー属性には、役職や保持するライセンス、所属部署などがあり、これらの属性に対してアクセス権限を制御することが特徴です。
ABACでは、ユーザー個々の属性で判断するため、より細やかなアクセスコントロールを行えるのがメリットです。一方で、属性の定義や設定などに多くのリソースを割く必要があり、導入と運用までに時間がかかるというデメリットがあります。
アクセス制御導入の流れと注意点
アクセス制御を導入する際にはまず、導入する意図は何なのかを、関係するすべての従業員が理解していることが重要です。さらに、自社に適したソリューションを導入すること、適切なポリシーを設計することが続くステップです。万が一の事態が発生した場合の対応方法を検討しておく必要もあります。
導入意図を共有する
アクセス制御が導入されることによって、業務上の影響を最も強く受けるのは現場で働く従業員です。アクセス制御を導入したものの、従業員がその意図を理解していなければ、「従来のように、業務上で必要な情報へ容易にアクセスできなくなった」「求めるデータが得られるまでに時間がかかるようになった」と不平や不満だけが残るおそれもあります。
こうした状況に陥らぬよう、なぜアクセス制御を導入する必要があるのかを事前に社内に周知し、各従業員に理解してもらうことが重要です。さらに導入した結果、各従業員の業務にどのような影響が出るのか、ログイン後にどのようなユーザー行動が記録・保存されるようになるのか、アクセスできなくなってしまった情報がどうしても必要な場合にはどのような手順を踏めばよいのか、事前に説明しておく必要があります。
ソリューションを選択する
次に、アクセス制御を実施するためにどのソリューションを導入するのかの選定へと移ります。現在では、数多くのベンダーからアクセス制御ソリューションがリリースされており、それぞれ特徴や機能、価格などが異なります。自社のニーズや予算を考慮して、最適なソリューションを選択します。
選択する際にチェックすべきポイントとしては、性能や価格はもちろん、動作の軽快や運用の容易さなどもあります。提供されているソリューションは、高度なアクセス制御を実現できるものから、必要最小限のシンプルな機能のみを実装しているものまで、さまざまです。自社に必要なアクセス制御の機能を洗い出し、過不足のないソリューションを選択しましょう。
アクセス制御にどの程度の予算を避けるのかは企業によっても異なるため、価格をチェックすることも重要です。アクセス制御ソリューションは、導入する環境で価格が変化することの多い製品です。購入候補が複数ある場合には各ベンダーから見積もりを取り、比較・検討を進めましょう。
ソリューションを導入することによって、ネットワーク環境下での動作が低下する場合もあります。軽快に動作するか否かは、日常の業務に大きな影響を与えるだけでなく、従業員にストレスを与える可能性もあります。動作もチェックする必要があります。さらに導入後、自社で運用する際に扱いが難しく、サポートが乏しいソリューションでは、システム管理担当者の業務が増えるばかりです。容易に運用でき、万が一の場合でも手厚いサポートが期待できるベンダーの製品を選択すべきです。
ポリシーを設計する
導入するソリューションが決定したら、どのようなルールで運用するか、ポリシーを設計します。例えば、どの従業員がサーバーへログインできるのか、どの属性を持つ従業員がどの情報へアクセスできるのか、ルールを決めていきます。ポリシーの適用対象は個々のユーザーだけでなく、グループに対して設定することも可能です。
このときに大切なのは、セキュリティの強化を重視するあまり、日常の業務にマイナスの影響を与えるような厳しいポリシーを設計すべきではないということです。あまりにも厳しすぎるポリシーを設計してしまうと、従業員が必要な情報へアクセスできなくなってしまい、業務効率が大幅に低下するおそれがあります。ポリシーを設計する際には、業務効率とセキュリティとのバランスを考慮する必要があります。
緊急対応を想定する
システム管理担当者の不在時や天災などが起こったときに、アクセス制御システムに不具合が発生する可能性もあります。このような万が一の緊急時に備え、緊急アクセス用管理者アカウントを設定しておくことをおすすめします。緊急アクセス用管理者アカウントは、緊急時にのみ利用できる限定的なアカウントで、通常時にはどのユーザーにも割り当てられません。どうしても必要な場合のみ使用します。
【図解付き】シングルサインオン(SSO)とは? 仕組みとメリット
-1.jpg)
まとめ
アクセス制御を導入することによって、サイバー攻撃などの外部からの不正アクセスも、内部の不正アクセスも回避でき、企業に甚大な被害を与える外部への情報漏えいを未然に防止できます。顧客情報や営業・開発ノウハウなど、企業にとって重要な情報を保護できる点がアクセス制御導入のメリットです。
DXの推進にあわせて、クラウドサービスの導入も検討しているのであれば、アクセス制御が可能かどうかをあらかじめチェックしておくことが重要です。もし、利用しようとしているクラウドサービスにアクセス制御機能が実装されていないのなら、「HENNGE One」を導入することをおすすめします。さまざまなクラウドサービスで認証基盤として機能し、安全に利用できる環境を構築できます。
