アクセス制御とは? | 承認と認証

アクセス制御とは、制限付きの情報や場所にアクセスする権限を誰に付与するかを決めるために設計された一連のルールのことです。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • アクセス制御について定義する
  • 物理的アクセス制御と論理的アクセス制御を区別する
  • VPNとゼロトラストセキュリティソリューションの違いを説明する

記事のリンクをコピーする

アクセス制御とは?

Access Control

アクセス制御とは、情報、ツール、物理的な場所へのアクセスを制限する一連のポリシーのことを指すセキュリティ用語です。通常、アクセス制御は、物理的アクセス制御または論理的アクセス制御に分類されます。この記事では、後者に焦点を当てます。

物理的アクセス制御とは?

この記事では論理的アクセス制御に焦点を当てますが、物理的アクセス制御を理解することは良い出発点になります。物理的アクセス制御とは、物理的な場所へのアクセスを誰に与えるかを管理する一連のポリシーのことです。

実社会における物理的アクセス制御の例には次のようなものがあります:

  • バーの警備員
  • 地下鉄の改札口
  • 空港の税関職員
  • ホテルの部屋のカードキースキャナー

こうした例において、人物またはデバイスは、一連のポリシーに従って、制限付きの物理的な場所に誰がアクセスできるかを決めます。たとえば、ホテルのカードキースキャナーは、ホテルのカードキーを持つ承認された宿泊客についてのみアクセスを許可します。

論理的アクセス制御とは?

論理的アクセス制御は、データならびにそのデータを操作するのに使用されるソフトウェアへのアクセスを制限します。論理的アクセス制御は、コンピューターおよびネットワークセキュリティで非常によく使用されています。いくつかの例を次に示します:

  • パスワードを使用してノートパソコンにログインするユーザー
  • 指紋認証でスマートフォンをロック解除するユーザー
  • メールアカウントにログインするGmailユーザー
  • VPNを使用して社内ネットワークにアクセスするリモート従業員

いすれのケースにおいても、ソフトウェアはデジタル情報へのアクセスを希望するユーザーを認証して承認するのに使用されます。認証と承認の両方は、論理的アクセス制御にとって不可欠な構成要素です。

認証と承認の違い

要するに、認証とはユーザーが本人であることを確認するセキュリティプラクティスであるのに対して、承認とは各ユーザーに付与されるアクセスのレベルのことです。

たとえば、ホテルにチェックインする旅行者を思い浮かべてください。フロントで宿泊登録するとき、予約した本人かどうかを確認するためにパスポートや運転免許証などの身分証の提示を求められます。これが認証の一例です。

ホテルの従業員が宿泊客を認証したら、宿泊客は限定的な権限を持つカードキーを受け取ります。これが承認の一例です。宿泊客のカードキーは、部屋、宿泊客用のエレベーター、プールにアクセスする権限を付与します。このカードキーは、ほかの宿泊客の部屋のドアを開けたり、業務用のエレベーターを呼んだりすることはできません。なぜなら、宿泊客はそうした場所へのアクセスを承認されていないからです。

ホテルのハウスキーピングスタッフを管理する従業員は、より高いレベルの承認を持つカードキーを渡されます。すべての客室、業務用のエレベーター、ランドリールーム、従業員ラウンジなどにアクセスできます。ただし、セキュリティセンターや金庫といった機密性の高い場所には依然としてアクセスできません。一方、ホテルのセキュリティ責任者は、ホテルのすべての部分にアクセスできるカードキーを持ちます。制限なしのアクセスが許可されます。

コンピューターとネットワークシステムは、非常によく似た認証および承認の制御を備えています。ユーザーはメールアカウントまたはオンラインバンキングアカウントにサインインするとき、本人しか知りえないログイン名とパスワードを組み合わせて使用します。ソフトウェアはこの情報を使用してユーザーを認証します。一部のアプリケーションには、ほかよりも厳格な承認要件を備えています。パスワードだけで十分であるという人もいれば、二要素認証さらには指紋認証や顔認証のような生体認証を求める人もいます。

いったん認証されると、ユーザーはアクセスすることが承認されている情報のみを見ることができます。オンラインバンキングアカウントの場合、ユーザーは各自の口座に関連する情報のみを見ることができます。銀行のファンドマネージャーは、同じアプリケーションにログインする、銀行の財務情報に関するデータを見る、銀行に代わって証券を売買するツールにアクセスする、といったこともできます。銀行は非常に機密性の高い情報を扱うため、誰一人としてデータへの制限なしアクセスを持っていない可能性は大きいです。銀行の頭取やセキュリティヘッドでさえ、個々の顧客のフルデータにアクセスするには、セキュリティプロトコルを通過する必要がある場合があります。

認証が行われるもう1つの例は、TLS暗号化です。WebブラウザーがHTTPSサイトに接続すると、TLSハンドシェイクが行われ、公開鍵/秘密鍵暗号を用いたWebサーバーの認証が行われます。Webサーバーは、ユーザーに表示するコンテンツをブラウザーがダウンロードする前にアイデンティティを証明する必要があります。

アクセス制御を実装するいくつかの方法

論理的アクセス制御を実装するための最も一般的なツールがVirtual Private Network(VPN)です。VPNとは、リモートユーザーがプライベートネットワークに接続しているかのようにインターネットにアクセスすることを可能にするサービスのことです。コーポレート系ネットワークは、VPNを使用して地理的に分散した自社ネットワークへのアクセス制御に対応することが多いです。たとえば、サンフランシスコとニューヨークにオフィスを持っていて、全世界に散らばって仕事をする従業員を抱えている会社があるとします。そうした会社は、従業員がいる物理的な場所に関係なく、VPNを使用してすべての従業員が自社ネットワークに安全にログインできるようにすることができます。VPNに接続することは、公共のWi-Fiネットワークに接続する従業員を中間者攻撃から保護するのにも役立ちます。

ただし、VPNにもいくつかのデメリットがあります。第一に、VPNはパフォーマンスに影響を及ぼします。VPNに接続すると、ユーザーが送受信するすべてのデータパケットは、それぞれのリクエストおよびレスポンスが送信先に到着する前に、VPNサーバーを経由しなければならないため、送信先に到着するまで余分な距離を移動しなければなりません。多くの場合、これによってレイテンシーが増加します。第二に、一般にVPNはネットワークセキュリティに対してAll-or-Nothing方式を適用します。VPNは認証を行うという目的には適していますが、きめ細かなアクセス制御を行うという目的には適していません。つまり、企業が従業員ごとに異なるレベルのアクセス権限を付与したい場合、複数のVPNを使用しなければなりません。これにより複雑さが増すにもかかわらず、依然としてゼロトラストセキュリティの要件を満たすことができません。

ゼロトラストセキュリティとは?

ゼロトラストセキュリティとは、ネットワーク境界(ソフトウェア定義の境界)の内側にいるか外側にいるかに関係なく、内部リソースにアクセスしようとしているすべての人物とデバイスのIDの厳格な検証を必要とするセキュリティモデルのことです。また、ゼロトラストセキュリティは、マイクロセグメンテーションを利用します。マイクロセグメンテーションとは、ネットワークの個々の部分へのアクセスを個々に管理するために、セキュリティ境界を小さなゾーンに細かく切り分ける(セグメンテーションする)ことを言います。

今日、多くの企業はVPNを用いた「境界型」セキュリティソリューションから、Cloudflare Accessのような「ゼロトラスト」セキュリティソリューションに移行しています。ゼロトラストセキュリティソリューションは、VPNを使用することのデメリットを避けながら、オフィス勤務の従業員と在宅勤務の従業員の両方のアクセス制御を管理するのに使用できます。