ブログ記事
セキュリティを強化するためのアクセス制御とテクノロジー
アクセス制御システムの話題について取り上げる場合、私たちは企業で制限を設けている領域へのアクセス権付与についての話をしています。しかし、アクセス制御システムを熟知することと、このシステムを活用して機密情報を保護することでは、求められる理解度が全く異なります。たとえば、機密情報を保護するには、誰にどのアクセス権限を付与するのか、そのルールは何か、どのようにして追跡するのかなどを検討する必要があります。
機密情報へのアクセス権限を付与するには、まずユーザーを識別して認証する必要があります。つまり、アクセス制御システムの基本には、ユーザーがシステムに「入る」条件と記録が含まれます。
組織の形態にもよりますが、企業は組織のシステムに対する所有権のレベルや、どの従業員に何に対するアクセス権限を付与するかの決定方法を検討する必要があります。これには多くのモデルがあり、それぞれに異なるメリットがあります。
一般的なアクセス制御システムの種類
強制アクセス制御(MAC)
強制アクセス制御は、最も制限の強いセキュリティ対策で、アクセス権限を付与できるのはシステム管理者のみになります。つまり、ユーザーは異なる領域への出入りに制限がかかるため、機密情報に対するセキュリティを強化できます。
このシステムは、リソース所有者であっても、列挙された情報へのアクセス権限を制限します。従業員がシステムにアクセスすると、可変的な「タグ」の集合が付与されます。このタグは、デジタル式のセキュリティ プロファイルのようなもので、アクセスレベルを制御します。つまり、ユーザーが持つタグの種類によって、情報へのアクセス権限が制限されます。このシステムは巧妙に設計されており、機密保持への徹底したコミットメントから、政府機関でもよく利用されています。
任意アクセス制御(DAC)
一方、任意アクセス制御の場合、ある程度の制御がリーダーの手に委ねられます。システム管理者が特定のアクセス権限でファイル階層を作成したとしても、リーダーは各リソースにアクセスできる従業員を決定できます。このシステムの場合、正しい認証情報があればアクセスできます。
唯一デメリットとしては、言うまでもありませんが、エンドユーザーにセキュリティレベルを制御させるには監視が必要になるという点になります。また、このシステムでアクセス権限を管理する場合、ユーザーに対しより積極的な関与を必要とするため、彼らの行動が見過ごされがちになります。強制アクセス制御は厳格で労力が少ないのに対し、任意アクセス制御は柔軟ですが多くの労力が必要です。
ロール ベース アクセス制御(RBAC)
ロール ベース アクセス制御は、ユーザーの業務内容に基づいてアクセス権限を付与します。
最も一般的なアクセス制御としてRBACは、ユーザーの会社における職位に基づいてアクセスを決定し、役職が低い従業員には、役職の高い役職のレベルの情報にアクセスできないようにします。
この手法で設定されたアクセス権限は、リソース、ニーズ、環境、仕事、場所など、業務にマッピングされる変数の集まりを中心に設計されています。多くの経営幹部たちがこのアプローチを好むのは、従業員がアクセスする必要のあるリソースの種類に基づいてグループ分けするのが簡単だからです。たとえば、人事部の社員はマーケティング資料にアクセスする必要がなく、マーケティング部の従業員は他の従業員の給与情報にアクセスする必要もありません。ロール ベース アクセス制御は、情報の漏洩や侵害に対する保護を維持しながら、可視性を高める柔軟なモデルを提供します。
より詳細で実践的なアクセス制御
アクセス制御には確立された方法がいくつかありますが、テクノロジーによって、よりカスタマイズされたアプローチを実現できるようになりました。このアプローチは、企業が求める成熟度に応じて、さまざまな方法で考えることができます。
ルール ベース アクセス制御
ルール ベース アクセス制御は、構造化されたルールとポリシーに基づいてアクセス権限が付与されます。主にコンテキストベースで、ユーザーがリソースへのアクセスを試みると、OSはその特定のリソースに対応する「アクセス制御リスト」に基づいて決められたルールを確認します。ルール、ポリシー、コンテキストの作成と展開には、多少の労力が必要になりますが、このシステムは、上述したロール ベース アプローチと組み合わせて使用されることが多いです。
属性ベース アクセス制御
さらに詳しく見ていくと、属性ベース アクセス制御は、特定のユーザーに付与された属性に基づいて、より動的でリスクを配慮した制御を提供します。これらの属性はユーザー プロファイルを構成する要素で、これらを組み合わせてユーザーのアクセス権限が定義されます。ポリシーが設定されると、これらの属性を読み込み、ユーザーがアクセス権限を持つべきか判断することができます。属性情報は、Salesforceなどの別のデータベースから取得してインポートすることも可能です。
よりスマートで、より直感的な制御システム
一部の制御システムは、テクノロジーの領域を超越しており、より深く直感的なレベルで動作します。
アイデンティティ(ID)ベース アクセス制御
最もシンプルでありながら、最も複雑でもあるのが、アイデンティティ(ID)ベース アクセス制御です。これは、個々の視覚的または生体認証情報に基づいて、リソースへのアクセス許可の可否を決定するものです。ユーザーは、アクセス制御リストに掲載されている名前との照合結果に基づいて、アクセスが許可または拒否されます。このアプローチにおける主なメリットには、従業員を手動でグループ化するのではなく、システムに存在する個人に対してより詳細なアクセス権限を提供できるという点があります。これは、ビジネスオーナーに豊富な制御の権限を提供する、非常に詳細かつテクノロジー主導のアプローチになります。
履歴ベース アクセス制御
もうひとつのスマートなソリューションは、履歴ベースのアクセス制御システムになります。このシステムは、過去のセキュリティ操作に基づいて、ユーザーが要求しているリソースへのアクセス権限を付与するかどうかを決定します。その後、このシステムでは、そのユーザーの行動履歴(リクエスト間の時間、要求されたコンテンツ、最近開けたドアなど)を分析します。たとえば、ユーザーセキュリティで保護された会計資料のみを長期間取り扱ってきた場合、来年のマーケティング部のロードマップへの情報アクセスの要求には、システムがフラグを立てる場合があります。
将来:AI主導のID管理
アクセス制御の未来を見据えると、システムを管理する責任は人間からテクノロジーへと移り変わっていくことになるでしょう。人工知能(AI)は、ユーザーに対するアクセス権限の許可をリアルタイムで評価するだけでなく、従業員のライフサイクル全体を予測できるようにもなります。こうしたソリューションは、私たちが現在直面している脅威から守るだけでなく、リスクやコンプライアンス上の問題が深刻化する前に特定することもできます。AIが高度なレベルでの可視性を簡素化するため、企業は蜘蛛の巣状に絡みあった複雑なポリシーとアクセス制御リストを厳しく監視する必要がなくなります。
まとめ
アクセス制御は、社内にある物理的な文書を保護することから、クラウドベースのシステムへと進化していますが、企業のリソースを保護するという考え方が廃れることは決してありません。テクノロジーを活用してよりスマートになれば、選択肢も増えてきます。組織規模、リソースのニーズ、従業員の勤務場所など、重要な変数を理解しておくと、意思決定の際に役立ちます。
FAQ
よくある質問
アクセス制御とアクセス管理の違いは?
アクセス制御とは、誰が、あるいは何のITリソースを利用できるかを許可する機能のことです。適切な制御により、管理者に承認されていない者が自社のシステムなどへ不正アクセスを行うリスクを防ぎます。アクセス管理とは、従業員に対し社内システムのアクセス権の付与を、職務権限や部署に応じて実施・管理することです。
アクセス制御にはどのような種類がありますか?
アクセス制御には、主に3つのモデルが存在し、強制アクセス制御(MAC)、任意アクセス制御(DAC)、ロール ベース アクセス制御(RBAC)が挙げられます。強制アクセス制御は最も厳格な制御を提供し、任意アクセス制御はユーザーによる柔軟なアクセス制御を可能にします。ロール ベース アクセス制御はユーザーの役割に基づいてアクセス権を割り当てる方法です。
クラウドプラットフォームを適切に制御します
アクセス権限モデリングについてはこちらをご覧ください。