アクセス制御およびアクセスコントロールはセキュリティの根幹となる技術と言えます。利便性を維持しながら安全性を高めることにつながるため、どのような仕組みで、どのような考え方をもって運用すべきか、理解を深めておきましょう。
今回はアクセス制御：アクセスコントロールに関する基礎知識と、アクセス制御がサイバー攻撃や内部不正の抑止および防止の基盤として必要な理由についてお話します。

アクセス制御：アクセスコントロールに関する基礎知識

はじめにアクセス制御：アクセスコントロールに関する基礎知識について簡単に説明します。

アクセス制御：アクセスコントロールとは

アクセス制御「Access Control(アクセスコントロール)」とは、システム、データ、ネットワーク、デバイスなどへのアクセスを制御する仕組みを指します。セキュリティにおける根幹となる技術であり、企業や組織であれば顧客や従業員の安全性と利便性を確保しつつ、悪意のある第三者からのサイバー攻撃や内部不正によるリスクを低減するために必要です。
基本的には「許可」と「拒否」であり、アクセスできるか、できないかのふたつです。例えば、公式ホームページへ一般の顧客や潜在的な顧客がアクセスすることは許可をしても、サイバー攻撃を行うような悪意のある第三者からのアクセスは拒否するようなイメージです。

アクセス権やファイルの閲覧・編集・削除などの権限について

データへのアクセス制御として、何らかの形で利用者を特定、区別することがあります。例えば、会員と非会員、従業員と顧客、部門や部署、役職などに応じて権限を割り振り、データへのアクセスを許可・拒否するようなイメージです。
企業や組織の活動で生じるデータには、顧客情報や機密情報が含まれます。全従業員が誰でも好きにアクセスできてしまうような状況では、サイバー攻撃や内部不正からデータを守ることはできません。必要な役職、担当、部門や部署など区別し、閲覧のみなのか、編集や削除も可能にするのかを制御することで、安全性を高めつつ、利便性を損ねずに済みます。

システムやデバイス、ネットワークへのログインなどのコントロール

データだけでなく、システムやデバイス、ネットワークへのログインをコントロールするのもアクセス制御です。例えば、銀行のオンラインバンキングはIDとパスワードさえあればログインできてしまうものがあります。悪意のある第三者にログインされた場合、金銭的な被害を受けるのは明白です。
社内や組織内の基幹システム、ネットワークも同様であり、情報漏えいやデータ改ざんが行われてしまえば何らかの被害を受けてしまいます。アクセス制御をしつつも認証に関する部分で個人を特定するか、多要素認証を導入することで、安全性を高めることができます。

アクセス制御がサイバー攻撃の抑止や防止の基盤として必要な理由

次にアクセス制御がサイバー攻撃の抑止や防止の基盤として必要な理由をご紹介します。

サイバー攻撃による不正アクセスや不正操作を防ぐため

アクセス制御がない場合、サイバー攻撃を防ぐことができません。不正アクセスや不正操作をされてしまえば、企業や組織として積み上げてきた情報資産が奪われてしまいます。その上、顧客情報などを悪用されてしまえば二次的な被害が発生し、企業や組織としての信頼が失墜してしまうでしょう。
アクセス制御によって、必要とする人が、必要とするタイミングでアクセスできるようにすること、悪意のある第三者はアクセスを拒否することができれば、不正アクセスや不正操作を防ぐことができます。また、ログイン認証などと組み合わせれば、原因の特定もしやすくなり、被害を最小限に留めることにもつながります。

ゼロトラストに基づいたセキュリティ基盤が構築しやすいため

ゼロトラストとは「すべてを信用しない」という前提でセキュリティを構築する考え方です。アクセス制御によって、デバイスの拒否や許可、特定のネットワークからのアクセスの拒否、ログイン情報が誤っている場合に拒否など、拒否と許可を重ねることで、外部からのサイバー攻撃を防げるようになります。
オンラインバンキングで例えると、ログイン情報のみではログインはできても振込などの操作はできない、他の情報やメールによる認証などをしなければ他の操作はされないなどが挙げられます。企業や組織も同様であり、まずはデバイス自体の拒否・許可、ネットワークへのログインの拒否・許可、データへのアクセスの拒否・許可などを繰り返せば、不正アクセスや不正操作が起きても被害が発生しないような基盤が整うのです。

アクセスログの監視でサイバー攻撃の検知や排除をするため

アクセス制御はアクセスした情報をログとして残すのも役割です。アクセスログを蓄積しておくことで、監視を行うためです。例えば、PC操作ログの取得、Web閲覧履歴やメール送受信履歴の取得および監視と併用することで、不正な操作や不審な動きを検知できます。
現実問題として、なりすましや乗っ取りにあったデバイスの場合、従業員本人が利用していなくてもシステムやネットワークにアクセスできてしまいます。普段の行動とは違う動きを検知すること、普段から不必要なデータにアクセスできないようにしておくことで、多層的・多段的な防御体制が構築され、安心・安全な環境が整うということです。

アクセス制御が内部不正の抑止や防止の基盤として必要な理由

次にアクセス制御が内部不正の抑止や防止の基盤として必要な理由をご紹介します。

不正を検知し情報漏えいやデータ改ざんを検知するため

内部不正は社内や組織内の従業員が行うのがほとんどです。従業員自身の権限を悪用して不正を行ったり、情報漏えいやデータ改ざんをしたりします。アクセス制御とともにログの取得や監視を行えば、何が起きているか把握できます。外部からのサイバー攻撃と同様に、誰が何をしているのかを検知することで、内部における不正を抑止できるということです。
また、内部不正は従業員自身の権限ではなく、他の従業員のアクセス権などを悪用することもあります。例えば、何らかの理由で上司や管理職のIDおよびパスワードを手に入れて、その人の権限で不正を行うような形です。IDとパスワードだけでなく、MACアドレスなどによるアクセス制御を行ったり、多要素認証を導入したりすることで回避することができます。

使用者の特定と監視によって作業や業務に関する透明性を確保するため

「いつ・どこで・誰が・何をした」というログはセキュリティ上、非常に大切な情報です。使用者を特定すること、操作を記録しておくことで、内部不正を検知できるためです。これらは内部不正が起こることありきだけではなく、従業員の透明性を確保することにもつながります。
前項でも触れたように、他の人のIDやパスワードを不正に利用した場合など「いつ・誰が・何をした」という情報では盗まれた人が内部不正したように見えますが、「どこで・どのデバイスで」というログが残っていればIDやパスワードを盗まれた人ではないことが明確になります。従業員を疑うため、内部不正が起こさないためだけでなく、不正アクセスや不正操作から従業員を守るためにもアクセス制御が必要であることがわかります。

適切なアクセス制御やアクセス権の設定でうっかりミスの防止になるため

作業や業務を行う中、うっかりミスやヒューマンエラーが発生することがあります。適切なアクセス制御が設定されており、必要な範囲のデータへアクセスできるようになっていれば、うっかりミスが起きませんし、起きたとしても重大なインシデントを引き起こしにくくなります。
アクセス制御によって個人情報や機密情報へのアクセスを許可・拒否することで、発生自体を抑止すること、リスクを減らしていくことができるということです。アクセス制御がされておらず、アクセスログの取得や監視も行っていない場合、非常に危険な状態でしかありません。いつ・どこで・だれが情報漏えいさせたのか、データ改ざんをしたのかわからないどころか、そもそも検知すらできないからです。
適切なアクセス制御とアクセス権の設定を行うことが重要であると理解し、利便性を維持しつつも安全性を高められるようにアクセス制御をしておきましょう。

まとめ：アクセス制御でIT資産や情報資産を脅威から守ろう！