ブログ記事
データアクセス制御とは
データは企業にとって最も貴重な資産のひとつです。機密情報を保護するために複数のクラウドや環境に存在する情報資産へのアクセスを制限するだけでなく、そのデータにアクセスしようとする人が正しいかを確認する必要があります。
データアクセス制御とは基本的なセキュリティツールで、一連のポリシーに基づいてアクセスを制限できます。データへのアクセスに対し堅牢なポリシーを適用することで、個人を特定できる情報(PII)、知的財産、その他の機密情報を社内外問わず悪用されないよう守ります。
データアクセス制御の仕組み
データアクセス制御は、ユーザー本人であることを確認し、ユーザーがデータにアクセスする権限を持っていることを確認します。データアクセス制御の主な構成要素は、以下の2つです。
- 認証:多要素認証の仕組みにより、ユーザー本人であることを検証します。
- 認可:特定のポリシー基づいて各ユーザーのデータへのアクセスレベルだけでなく、ユーザーが実行できるアクションを決定します。
効果的にデータへのアクセスを制御するためには、認証と認可をオンプレミスとクラウドという2つの環境で、一貫して適用する必要があります。
データアクセス制御モデル
データアクセス制御を適用するには、主に4つのモデルがあります。
任意アクセス制御(DAC):DACは最も制限レベルが低いデータアクセス制御モデルです。リソースの所有者または管理者に依存して、誰がアクセス許可をもつかを決定します。このモデルは分散型で、ユーザーがアクセス権を他人と共有することができるようになるため、誰が企業の機密情報にアクセスしているか監視するのが困難です。
DACモデルにより、ファイルやフォルダを作成したエンドユーザーがアクセス権限設定や他のユーザーへの権限委譲を自由に行うことができます。このモデルには、トロイの木馬やマルウェア攻撃に対する脆弱性など、セキュリティ上の問題が内在しています。
強制アクセス制御(MAC):MACは非裁量モデルで、エンドユーザーは権限設定を一切制御できません。管理者や所有者などの中央権威がアクセス権限の設定、変更、剥奪を制御します。
MACモデルでは、アクセスはデータの分類とユーザーがもつクリアランスまたは正式なアクセス承認のレベルに基づいています。このアプローチは管理が難しいですが、主に軍事組織で使用されています。
ロールベースアクセス制御(RBAC): このモデルでのアクセスは、ユーザー分類が日々の業務に必要なアクセスレベルに応じた一連の権限に基づいて付与されます。RBACにより、職務、責任などの基準に基づいて、社員ごとに異なるアクセス権限を付与します。
RBACは幅広く使用されているシステムで、ロールの割り当てと権限付与を組み合わせています。RBACはコストセンター、ビジネスユニット、各社員の職務、権限などの基準により定義された、あらかじめ決められたロールを中心に設計されています。ユーザーの責任、業務内容、部門が変わる場合、管理者はユーザーにシステムで事前定義されている新たなロールを割り当てます。
属性ベースアクセス制御(ABAC):ABACは動的なデータアクセス制御モデルで、属性と環境条件(場所、時間などの要素)に基づいてアクセス権を付与します。これらの属性と条件がユーザーとデータなどのリソース双方に割り当てられます。
ABACはRBACと比較して、サブジェクトとオブジェクトの関係を変更することなく属性と価値を変更できるため、より柔軟な対応が可能です。つまり、アクセスについて新たな決定を行う際に、アクセス制御を動的に変更できることを意味します。
データアクセス制御の実施
データアクセス制御の管理を簡素化するために、多くの企業がアイデンティティ・アクセス管理(IAM)などのプラットフォームを使用しています。IAMソリューションを使用するメリットは以下です。
- 組織全体のデータを集中的に一括コントロール
- プロビジョニングなどのタスク自動化
- GDPR、HIPAA、PCI、CCPAなどの規制順守の簡素化
まとめ
データセキュリティは重要であると同時に複雑でもあります。環境がより複雑化し、脅威が進化するにつれ、データアクセスポリシーを一貫して適用することが重要になります。悪意のあるアクセスや不適切なアクセスを監視するレイヤーを追加することでセキュリティを強化しながら、データアクセス制御プロセスを簡素化できるソリューションを検討すべきです。
SailPointはデータの可視性とコントロールを実現し、企業が重要な情報資産へのアクセスを保護できるようサポートするアイデンティティ業界のリーダーです。