アクセス制御とは？企業のセキュリティを高める仕組みと事例を解説

アクセス制御とは

アクセス制御は、コンピューティング環境でリソースを表示または使用できる人を規制するために使用される基本的なセキュリティ概念です。これは認証済みの個人またはシステムのみがデータまたはシステムにアクセスできるようにするもので、これにより機密情報を保護し、組織内の重要なリソースの機密性、整合性、可用性の維持が可能になります。

本質的に、アクセス制御とはユーザーの識別、認証、認可に関するものであり、アクセス権限の許可が組織のポリシーとユーザーのロール（役割）に一致していることを保証するものです。最も単純な形では、アクセス制御はパスワードとユーザー アクセス権許諾の組み合わせと見なすことができます。ただし、最新のアクセス制御システムには、生体認証、多要素認証 、動的なポリシーベースのフレームワークなどの先進技術が組み込まれています。これらのシステムは、大企業から中小企業に至るまで、多様な環境でのセキュリティ管理に不可欠であり、法規制遵守基準を守りながらデータ侵害や不正アクセスの試みから保護する上で極めて重要です。

アクセス制御システムとは

アクセス制御とは、特定の空間やシステムへのアクセスを、アクセス権許諾を付与され、アクセスに必要な手段（たとえば物理的空間であれば鍵やキーカード、デジタル資産であればログイン クレデンシャルなど）を与えられたユーザーだけに制限するセキュリティ システムの一種です。この記事では、企業の制限エリア（システムやアプリケーションなど）へのアクセスを管理するユーザー アクセス制御について詳しく説明します。

ユーザー アクセス制御は、セキュリティ ポリシーを実施するために、アイデンティティ（ID）検証とアクセス権許諾管理の原則に基づいて動作します。個人またはシステムがリソースへのアクセスを要求すると、ユーザー アクセス制御が要求者のIDを確認して認証します。

このようなデジタル アクセス制御では、ユーザーはまず識別され認証されてからでないと、個人情報へのアクセスは許可されません。つまり、アクセス制御システムの基本的な仕組みには、誰かがシステムに「入る」たびに適用される認可基準とその記録の保持が含まれています。企業は、組織のタイプに応じて、システムに対してどのレベルの所有権を持つのか、そしてどの従業員に何へのアクセス権限を与えるかをどのように決定するのか、という2つの大まかな方針を検討すべきです。多くのモデルがあり、それぞれ異なる利点があります。

アクセス制御システムの3つの主なタイプとは

アクセス制御システムには多くの種類がありますが、3つの主なシステムは次のとおりです。

1. 強制アクセス制御システム（MAC）
2. 任意アクセス制御システム（DAC）
3. ロール ベース アクセス制御システム（RBAC）

強制アクセス制御（MAC）

強制アクセス制御システムは、最も制限の強いセキュリティ対策で、アクセス権限を付与できるのはシステム管理者のみになります。つまり、ユーザーは異なる区画へ入ることを拒否または許可するアクセス権許諾を変更できないため、機密情報に対するセキュリティを強化できます。システムに記載されたあらゆる項目にアクセス権限を付与できるリソース オーナーのアクセス権限さえも制限されます。

従業員がシステムに入ると、デジタル式のセキュリティ プロファイルのような可変の「タグ」による独自の接続でタグ付けされます。このタグは、その従業員に付与されているアクセス権限のレベルを示すものです。ユーザーに付けられたタグに応じて、従業員がアクセスした区画に含まれる情報の機密性に基づいてリソースへのアクセスが制限されます。このセキュリティ システムは実際に極めて巧妙であり、機密性への対策が強化されているため、政府機関でよく使われています。

任意アクセス制御（DAC）

一方、任意アクセス制御システムの場合、ある程度の制御がセキュリティ リーダーの手に委ねられます。システム管理者が特定のアクセス権許諾でファイル階層を作成したとしても、リーダーは各リソースにアクセスできる従業員を決定できます。このシステムの場合、正しいクレデンシャルがあればアクセスできます。

唯一のデメリットとしては、言うまでもありませんが、セキュリティ レベルをエンドユーザーに制御させるには監視が必要になるという点になります。また、このシステムでアクセス権許諾を管理する場合、よりアクティブなロールが求められるため、アクションが見過ごされがちになります。MACアプローチは厳格で労力が少ないのに対し、DACシステムは柔軟ですが多くの労力が必要です。

ロール ベース アクセス制御（RBAC）

ロール ベース アクセス制御は、ユーザーの業務内容に基づいてアクセス権許諾を付与します。このアクセス制御システムは最もよく使われているシステムで、社内におけるユーザーのロールに基づいてアクセス権限を決定し、下位レベルの従業員が上位レベルの情報にアクセスできないようにします。

この方式では、アクセス権はリソース、ニーズ、環境、仕事、場所など、ビジネスに関連する一連の変数を中心に設計されています。このアプローチは多くの幹部に好まれますが、それはアクセスが必要なリソースの種類に基づいて従業員をグループ化するのが簡単であるためです。

たとえば、人事部内の者は民間のマーケティング資料へのアクセスを必要とせず、マーケティングの従業員は従業員の給与にアクセスする必要はありません。RBACは、セキュリティ侵害とデータリークに対する保護を維持しながら、可視性を向上させる柔軟なモデルを提供します。

特権アクセス管理はかつてないほど重要な課題となっています。ITチームは、システム管理やセキュリティ構成、データのバックアップなど様々なタスクを実行するにあたって、特権アクセスを利用しています。

特権アクセス管理におけるセキュリティの向上：自動化と監査対応の必要性

主要な4つのアクセス制御モデルとは

主要なアクセス制御モデルは4つあり、これは2つの一般的なタイプに分類されます。「より詳細かつ実践的」なアクセス制御モデルは、よりカスタマイズされたアプローチの機会を提供します。企業がどのように「実践的」であることを望むかによって、考え方は様々です。この分類に属する最も一般的な2つのアクセス制御のタイプは、ルール ベース アクセス制御と、属性ベース アクセス制御です。

「よりスマート」かつより直感的なアクセス制御システムは、技術の枠を完全に超えています。これらは、より深く、より直感的なレベルで動作するシステムです。このタイプのアクセス制御の例としては、IDベース アクセス制御と履歴ベース アクセス制御があります。

ルール ベース アクセス制御

この名前からもわかるように、この種類のシステムでは、構造化されたルールとポリシーに基づいてアクセス権許諾が付与されます。これは主にコンテキストベースで、ユーザーがリソースへのアクセスを試みると、OSはその特定のリソースに対応する「アクセス制御リスト」に基づいて決められたルールを確認します。ルール、ポリシー、コンテキストの作成と展開には、多少の労力が必要になります。また、この種類のシステムは、先ほど説明したロール ベースのアプローチと融合させることが多いです。

属性ベース アクセス制御

より深く掘り下げると、この種のシステムは、特定のユーザーに与えられた属性に基づいて、異なる動的でリスクインテリジェントな制御を提供します。これらの属性はユーザープロファイルの構成要素と考えてください。これらが一体となってユーザーのアクセス権限を定義します。

ポリシーが設定されると、これらの属性を使用して、ユーザーが制御権を持つ必要があるかどうかを読み取ることができます。これらの属性は、たとえばSalesforceなどの別のデータベースから取得してインポートすることもできます。

IDベース アクセス制御

IDベースの制御は、最もシンプルでありながら最も複雑です。これは、ユーザー固有の視覚的または生体認証によるIDに基づき、リソースへのアクセスを許可されているかどうかを決定します。それからユーザーは、アクセス制御リストに表示される名前がIDと一致するかどうかに基づいて、アクセスを拒否または許可されます。

このアプローチの主な利点の1つは、従業員を手動でグループ化するのではなく、システム内の個人により詳細なアクセス権限を提供できることです。これは非常に詳細なテクノロジー主導のアプローチであり、ビジネスオーナーに豊富な制御手段を提供します。

履歴ベース アクセス制御

もう1つの「スマート」なソリューションが、履歴ベース アクセス制御システムです。過去のセキュリティ アクションに基づいて、ユーザーが要求するリソースへのアクセスを許可するかどうかをシステムが決定します。

システムはその後、ユーザーの行動履歴（要求から要求までの時間、要求したコンテンツ、最近開いたドアなど）を取得します。たとえば、ユーザーに長い間セキュアな会計資料のみを使用して作業してきたという履歴があれば、マーケティング部の次年度ロードマップへのアクセス要求には、システムがフラグを立てる場合があります。

アクセス制御システムの主要な要素

アクセス制御システムは、識別、認証、認可の3つの主要な要素に基づいています。ユーザーにリソースへのアクセス権限を付与するには、まずそれぞれのステップを正常に実行する必要があります。

管理者は、ユーザーがシステムやアプリケーションにオンボードされた際に、各ユーザーに一意のIDを発行します。ここで取り上げているユーザー アクセス制御の場合、これは識別だけでなく、ユーザーのアクティビティの追跡にも使用されます。

認証と認可

ユーザーがシステムやアプリケーションにアクセスするには、まず認証を受ける必要があります。認証は、ユーザーによって提示されたIDが正当であることを証明するためのセキュリティ プロセスです。認証要素の主な種類には以下が挙げられます。

• あなたが知っていること – このもっともありふれた例としては、ユーザー名/パスワードによるクレデンシャルがあります。
• あなたが持っているもの – これは多くの場合、確認コードを受信するモバイル端末です。ワンタイム パスワードを生成するハードウェア トークンやアプリの場合もあります。
• あなたであることを示す何か – これには指紋、虹彩スキャン、顔認証などの生体認証が挙げられます。

ユーザーが認証されると、認可に基づいてリソースへのアクセス権限が付与されます。認可は、システムまたはアプリケーションへのアクセス権限が付与された後、認証されたユーザーが実行できることを確定します。

たとえば、認可の範囲が広いユーザーは、リソースへの完全なアクセスが許可され、ファイルの作成だけでなく、既存のファイルやその他のリソースを編集、共有、または削除することもできます。また、上記のセクションで説明されているように、管理者はこれをさまざまな方法で設定できます（たとえばロール ベース アクセス制御や属性ベース アクセス制御など）。

アクセス制御システムを実装するベストプラクティス9選

最小権限の原則（PoLP）の適用

すべてのアクセス権限は、最小権限の原則に基づいて付与される必要があります。これは、ユーザーが作業を行うのに必要な最小限の特権アクセス権限しか提供しないことを意味します。また、アクセスが不要になったときは特権を取り消すことも要求されます。

ユーザー プロビジョニングの自動化

ユーザーのプロビジョニングとデプロビジョニングの自動化は、ユーザーが組織を離れてから特権アクセス権限が取り消されるまでの遅延など、手動プロセスに伴うリスクを取り除くことにより、アクセス制御を改善します。また、一貫したアクセス ポリシーの実施にも役立ちます。

定期的なアクセス監査の実施

アクセス制御システムの監査の定期的な実施を保証するプロセスを導入する必要があります。これは、過剰な特権が与えられているユーザーを特定し、非アクティブなユーザー アカウントを特定することにより、最小権限の原則を徹底するのに役立ちます。

既存のアプリケーションとの統合連携の確保

他のセキュリティ システムを含む、組織全体で使用されているアプリケーションおよびシステムとの統合連携をサポートするアクセス制御システムを選択します。これは管理が楽になるだけではなく、ユーザーの生産性を妨げ、悪くすれば面倒なアクセス制御システムを回避する抜け道の発見を促すような、煩わしいプロセスを回避できます。

SailPoint Identity Security Cloudは、オンプレミス上で運用されている独自システムも含めて、ほぼ全てのアプリケーションやデータソースと双方向に連携できるため、企業全体で整合性のとれたアイデンティティとアクセス権限の統制を実現します。

ゼロトラスト ネットワーク アーキテクチャ（ZTNA）の実装

ゼロトラスト アーキテクチャを使用して、デバイス、ネットワーク、アプリケーション、サービス、ワークロード、データを管理します。次に、以下に挙げるようなゼロトラストの中核原則を徹底します。

• 初期アクセス権限が付与された後、ユーザーのIDと特権の継続的な検証によりユーザーを継続的に監視および検証。
• 最小権限の原則に従ってアクセス ポリシーを設定し、ユーザーの要件変更に従い特権を定期的に評価および更新。
• マイクロセグメンテーションを使用してネットワークを細分化し、アクセス権限を小さな領域やリソースに制限することで、攻撃対象領域（アタックサーフェス）を縮小。
• ユーザーアクセス制御を強化するために、多要素認証を要求。
• すべてのエンドポイント デバイスを検証し、人間のユーザーのみならず物理システムまでアクセス制御を拡張。

共有アカウントの使用の禁止

ユーザーがアクセス システムやアプリケーションのアカウントを共有することは、許可しないことが強く推奨されます。アカウントを共有すると、アカウントのアクティビティを追跡してユーザーの行動に対する説明責任を明確にすることや、共有アカウントに関連するセキュリティ インシデントが発生した際に根本原因を追跡することが困難になるため、セキュリティ リスクが生じます。

職務分掌の使用

これは職務、タスク、責任を複数のユーザー間に分散させ、リソースを悪用するのに十分な特権が1人の人物に集中しないようにすることを指します。その典型的な例としては、小切手を書いた人物が同じ小切手に署名するのを禁止することが挙げられます。職務分掌（SoD）は幅広いユーザーベースに適用されますが、管理者などの特権ユーザーには例外が認められます。

強力なパスワードの要求

ユーザーは、強力なパスワードの使用を求められる必要があります。サイバー セキュリティ・社会基盤安全保障庁（CISA）のパスワード セキュリティ ガイダンスでは、以下のように定められています。

• パスワードを長くする（少なくとも16文字以上）
• cXmnZK65rf*&DaaDのように、大文字と小文字、数字、記号を混在させたランダムな文字列にするか、LibraryBeachBananaFlowerのように、関連性のない単語の文字列でパラフレーズを作成する
• パスワードを使いまわさない
• アカウントごとに異なるパスワードを使用する

多要素認証（MFA）の使用

ユーザー クレデンシャルとバイオメトリック要素、またはトークンと認証コード生成アプリから作成されるワンタイム パスワードなどのように、アクセスを得るために複数の認証要素の提供をユーザーに要求します。

特権アクセス権限ログの維持管理

特権アクセス権限ログを使用して、どのユーザーがどのリソースへのアクセス権限を保有するかを追跡し、ユーザーのアクセス権限の変更を追跡します。

アクセス制御プロトコルでの従業員の訓練

サイバー セキュリティのトレーニングや啓発プログラムにアクセス制御の項目を追加して、どのシステムが使用され、なぜそれが使用されているのか、使用ポリシーに従わない場合はどのようなリスクがあるのかをユーザーが確実に理解するようにします。

アクセス制御と法規制遵守

アクセス制御システムの使用は、多くの規制法で義務付けられています。たとえば以下が挙げられます。

• 連邦情報セキュリティ管理法（FISMA）は、連邦政府機関が政府の情報と情報システムを保護するためにアクセス制御を実施することを要求しています。
• EU一般データ保護規則（GDPR）では、EU市民の個人データを処理する組織はアクセス制御を使用して、認証済み担当者のみが機密情報にアクセスできるようにすることが要求されています。
• グラム・リーチ・ブライリー法（GLBA）は、金融機関が顧客の個人的な金融情報を保護するためにアクセス制御を実施することを要求しています。
• 米国における医療保険の相互運用性と説明責任に関する法令（HIPAA法）は、保護された健康情報（PHI）を保護するために、医療機関がアクセス制御を実施することを要求しています。
• ペイメント カード インダストリー データ セキュリティ基準（PCI DSS）は、クレジット カード情報を取り扱う組織が、カード所有者のデータを保護するための強力なアクセス制御対策を実装することを要求しています。
• サーベンス・オクスリー法（SOX法）は、財務報告の正確性と完全性を確保するために、財務データへの不正アクセスを防ぐためのアクセス制御を要求しています。

AIエージェントで、アイデンティティセキュリティチームを強化、効率を最大化

将来：AIを活用したID管理

アクセス制御が将来に向かって進むにつれて、システム管理責任は人間からテクノロジーへと移行されることになると多くの人が予測しています。人工知能（AI）によって、ユーザーに対するアクセス権限の許可をリアルタイムで評価できるようになっただけでなく、従業員のライフサイクル全体を予測できるようにもなります。こうしたソリューションは、私たちの「今」を守るだけでなく、リスクやコンプライアンス上の問題が深刻になる前に特定することもできます。AIが高い水準で可視性を簡素化するため、企業はポリシーやアクセス制御リストが複雑に絡み合った網の目を厳しく監視する必要がなくなります。

まとめ

アクセス制御は、実際の建物にある物理的な文書を保護することから、クラウドベースのシステムへと進化していますが、企業のリソースを保護するという考え方が廃れることは決してありません。テクノロジーを活用してよりスマートになれば、より多くの選択肢を得ることができます。組織規模、リソースのニーズ、従業員の所在地などといった重要な変数を理解しておくと、意思決定の際に役立ちます。