アクセスコントロールとは、企業のコンピューターやネットワークなどでセキュリティ対策のために取り入れられている機能です。この記事では、アクセスコントロールの意味や具体例、メリット、機能、方式の種類などについて解説します。
アクセスコントロールの意味や具体例
アクセスコントロールとは、コンピューターやネットワーク、データなどへのアクセスに関係する機能です。情報漏えいの防止など、セキュリティ対策に役立ちます。
アクセスコントロールとはアクセスできるユーザーを制御すること
アクセスコントロールは、「アクセス制御」や「アクセス管理」とも呼ばれます。この機能の活用により、コンピューターやネットワーク、データなどへのアクセスマネジメントが可能です。企業のデータを社員が閲覧・編集する場合などにおいて、社員の識別や操作可能な範囲の設定、ログインや操作履歴の分析を行うなどセキュリティを確保します。
アクセスコントロールの具体例
アクセスコントロールでは、ユーザーに対して、閲覧や編集などの操作を制限できます。例えばECサイトでは、アクセスコントロールを設定することで、サイトのマイページに本人以外がログインしてしまうのを防ぐことが可能です。また、操作可能な範囲の指定もできるため、営業部専用のファイルを営業部の社員のみ閲覧可能にするといった制限も可能です。
アクセスコントロールを行うメリット
アクセスコントロールには、さまざまなメリットがあります。導入により、ユーザーの接続や操作などをマネジメントして、企業の重要なデータの漏えいを防ぎ、外部からの攻撃や内部の不正に対してもセキュリティの強化を図ることが可能です。
重要な情報の漏えいを防ぐ
企業は、顧客データや新製品・プロジェクトのデータなど、重要なデータを多く取り扱っています。もし機密データが社外に流出してしまうと、企業の信用が落ちたり、新製品のデータが競合他社に漏れて重大な利益損失につながる恐れがあります。
アクセスコントロールで制御すれば、こうした情報漏えいの防止が可能です。機密データを閲覧できる範囲を管理し、顧客データや社外秘データなどを関係のある社員しか閲覧・編集できないように設定できます。
この時、権限を付与する管理者は、多数置かないようにすることが重要です。複数人で管理すると制御しにくくなり、関係ない社員まで閲覧可能となりデータが流出してしまうかもしれません。
外部の攻撃や内部の不正から情報を守る
外部からの不正アクセスによるサイバー攻撃や、社員による内部からの情報漏えいなども防止できます。社員以外のログインを制限すれば、企業のネットワークに社員ではない外部の人物がログインして操作するリスクの軽減が可能です。不正なログインや操作をなくすことで、データの流出や改ざんなどの攻撃を防げます。
情報漏えいは、内部からの流出が原因となるケースも少なくありません。データを見る必要がない社員まで閲覧できる状態では、社員なら誰でも機密データを取得できてしまいます。データへのアクセスを必要な範囲に限定することで、内部での不要なアクセスや情報漏えいの防止が可能です。
また、ログを記録し検証することで、不正を行った人物や不正の方法を調査できます。データが残せるため、社員による不正な操作の予防にも役立ち、いち早く原因を特定することで万が一被害があった場合でも拡大を防ぐ効果が期待できます。
アクセスコントロールの主な機能
アクセスコントロールには、「認証」「認可」「監査」の3つの制御方法があります。ログインそのものを防ぐ機能や操作の範囲を制限する機能、アクセス履歴を残す機能でマネジメントが可能です。
ログインできるユーザーか確かめる「認証」
認証は、ユーザーがネットワークなどにログインできる権限の有無を識別する機能です。WebサイトなどにID・パスワードを入力してログインする方法や、電子証明書を提示するクライアント認証、指紋・静脈・目の網膜など身体の固有情報から識別する生体認証などの種類があります。複数の方法を併用すると、セキュリティを高めることができます。
アクセスできる情報の範囲を確かめる「認可」
認可とは、どのデータに対してどこまでの操作が認められるかを設定し、制限する機能です。認証後、ログインが許可されたユーザーに対して認可機能が働きます。
認可は、アクセスが許される条件をまとめた「アクセス制御リスト」を基に設定します。リストの内容に応じた権限がユーザーに設定されているため、「閲覧はできるが編集はできない」など、決められた権限の範囲内だけ操作が可能です。
アクセス履歴を記録して残す「監査」
アクセス履歴をログとして記録し、残す機能が監査です。不正なログインや操作がなかったかをログで確認することが可能です。企業のデータに不正ログイン・不正操作されたり、サイバー攻撃を受けたりした場合には、保存しているログを確認して、攻撃の手法や被害状況などを調査できます。監査自体に不正アクセスを防ぐ能力はありませんが、不正への抑止力として効果的です。
アクセスコントロールの方式
アクセスコントロールには、主に3つの方式があります。「任意アクセス制御」「強制アクセス制御」「役割ベースアクセス制御」の各方式から、適した方式を選んで使用します。
一般ユーザーが行える「任意アクセス制御」
任意アクセス制御は、「DAC(Discretionary Access Control)」とも呼ばれており、多くの企業で使われている方式です。一般ユーザーがファイルの操作権を個別に設定できる方式で、作成したファイルに誰が閲覧や更新などができるかを自分で設定します。自由度が高い反面、権限を個人の判断でそれぞれ決定するため統一性がなく、重要なデータを用いる場合には適していません。
管理者のみ行える「強制アクセス制御」
強制アクセス制御は、「MAC(Mandatory Access Control)」とも呼ばれます。特定の管理者が権限を設定する方式であり、個人単位では権限を変更できません。例えば、役職の違いで権限が決定されている場合などが強制アクセス制御に該当します。ユーザー単位では権限を変更できないため、セキュリティは高くなり重要なデータを扱うケースに適しています。
役割別に制限する「役割ベースアクセス制御」
役割ベースアクセス制御は、「RBAC(Role-Based Access Control)」とも呼ばれる方式です。基本的にはMACでの管理を行い、ユーザーの役割ごとに必要な権限を追加で付与します。RBACでは、営業部や経理部など、各部署・部門により権限を変えて設定が可能です。高いセキュリティを保ちつつも、追加の権限付与が可能なため運用の自由度がある方式です。
また、アクセス制御には、IPアドレスや時間などの属性によって制御を行う「属性ベースアクセス制御」もあります。「ABAC(Attribute-Based Access Control)」とも呼ばれ、社内ネットワークから設定済みのIPアドレスしかログインできないなどの細かな権限の付与が可能です。
SAP社の提供するGRCでアクセス制御におけるリスクマネジメントを
SAP社では、事業の透明性と安全性を確保できるGRCソリューションを提供しています。GRCとは、「ガバナンス(Governance)」、「リスク(Risk)」、「コンプライアンス(Compliance)」の頭文字をとったもので、組織の目標を策定し、経営における統合的なリスクマネジメントを行う手法を意味します。
企業の基幹システムとして、財務・人事などのさまざまな機密データが保管されているERPシステムを運用しているケースでは、GRCによる内部統制の整備が必要です。GRCソリューションにより、運用ルールを明確にして内部統制を最適化し、リスク対応やデータ保護、アクセスガバナンスの強化を図ることが可能です。
関連記事はこちら
SAPと組み合わせることでハイブリットなリスクマネージメントを実現できるソリューション【Identity Manager】
SAP社が提供するGRCソリューションは他社が提供するソリューションを用いることで違った角度からリスクマネージメントを実現することも可能です。例えば、クエスト・ソフトウェア社が提供するIdentity Managerというソリューションを活用することでIDライスサイクルを管理し、ロールや属性、ポリシーに基づいたアクセス管理を実現することが可能です。これらソリューションはIGA(Identity Governance & Adiministration)ソリューションと呼ばれるものでID管理の視点から様々なシステムのアクセス管理、ガバナンス統制を実施することが可能です。また豊富なコネクタを持ち、IDの一元管理を行うことによってリスクマネージメントを実現することが出来ます。
まとめ
アクセスコントロールは、ユーザーが企業のネットワークなどにアクセスする際の権限を制御する機能です。「認証」「認可」「監査」の3つの制御方法によって、外部や内部からの不正なアクセスを防ぎ、重要な情報が漏えいするリスクを防げます。統合基幹業務システムであるERPなどの普及が進む現在では、アクセスコントロールやIGAによるリスクマネジメントは欠かせないものとなっています。
- カテゴリ: GRC
