2019.04.05
コンピューターの進化によって、膨大な量のデータベースを瞬時に利用することが可能になりました。それによって複雑な計算や顧客情報の管理が容易になり、企業にとって大きなメリットをもたらしています。しかし、コンピューターが企業活動にとって従来よりも影響力を強くするなかで、犯罪者の標的になっていることも事実です。なぜなら、企業が持っている情報は犯罪者にとって悪用できるものが多く、とても価値が高いからです。企業のIT担当者や管理職、経営者であればコンピューターを不正アクセスから守る方法について知っておくべきでしょう。そこで、この記事ではコンピューターを守るための方法のひとつである、アクセス制御の概要や機能、制御モデル方式について紹介します。
アクセス制御とは簡単にいうと、「正規に承認されている人以外は使えなくする機能」です。つまり、正規に承認されていない部外者からのアクセスを制限するために導入されるシステムで、コンピューターのセキュリティを保つための機能だといえます。基本的にはソフトウェア側が利用可能なユーザーを識別するので、ユーザー側で特別な操作をする必要はありません。アクセス制御は別名、アクセスコントロールと呼ばれることもあります。実際に使われている事例としては、企業内のネットワークで使用できる端末を一部の人のコンピューターに制限するものが挙げられます。
たとえば、企業戦略に関する重要な情報の閲覧を管理職のみに制限するといった活用事例です。未登録の端末でアクセスした場合、ネットワーク内での行動が制限されたり、そもそもアクセスを拒絶されたりします。アクセス制御の方法は、「認証・認可・監査」という3つのモデルから成り立っており、それぞれに役割が異なります。モデルごとの特徴をよく理解しつつ、どこまでの権限をユーザーへ与えるか検討したうえで採用することが重要です。
アクセス認証のモデルのひとつである認証とは、コンピューターにログインできるユーザーを識別する機能です。ログイン可能な権限を与えられたユーザーのみシステム内での操作や処理が許可されます。認証は多くのユーザーが知らず知らずのうちに、すでに利用している可能性の高いモデルです。たとえば、スマホアプリの利用が挙げられます。スマホアプリの多くは、利用にあたって初回にIDやパスワードを設定してログインする場合があるでしょう。つまり、適切なIDやパスワードを入力できない人のログインを制限しているのです。このようなアクセス制限の機能も認証のモデルに含まれます。また、アクセスしたサーバーから要求された場合に限り、クライアントからの証明書を電子上でやりとりするクライアント認証も認証のひとつです。
アクセス認証やクライアント認証はそれなりに高いセキュリティ効果を期待できます。しかし、登録している情報を第三者に盗まれてしまうと誰でも悪用できてしまう点はデメリットです。そこで、新しい認証方法として注目を集めているのが、指紋や目の網膜を使った生体認証です。生体認証の最大のメリットは、指紋や網膜といったその人固有で唯一無二の情報を利用するので、第三者に悪用される可能性がないことだといえます。また、IDやパスワードが必要なくなるので、管理する手間が省けることもメリットです。ただし、ユーザーの身体的変化による認証拒絶や認証機器の誤認証という問題がないわけではありません。そのため、従来のパスワードやIDを活用した認証方法と併用しているケースが多いです。
アクセス制御の2つ目のモデルである認可とは、管理者があらかじめ定められていた条件を満たしたユーザーのみアクセスを許可する制御方法です。管理者が定めた条件はアクセスコントロールリスト(ACL)と呼ばれ、その条件に合致したユーザーのみネットワークにログインできます。ユーザーの判別が行われるのはネットワークルーターを通過するタイミングで、コンピューターが自動的に判別する仕組みとなっています。アクセスコントロールリストには、さまざまな条件を設定することが可能です。ネットワークルーターを通過するタイミングで1つ目の条件から順に審査が行われ、アクセスの許可を与えるかどうかを判別されます。
アクセス制御モデルの3つ目の監査は、認証や許可といった処理の過程で発生したログを記録する機能です。ログを記録することで、過去のアクセス制御の情報を検証することが可能になります。検証した結果、条件の見直しをすることで、より精度の高いアクセス制御が可能になるのです。また、監査によってログを記録することは、万が一不正ログインによってシステムが悪用された場合にも役立つことがあります。なぜなら、過去のログをたどることで不正アクセスしたユーザーを特定できる可能性があるからです。監査によるアクセス制御は、コンピューターのセキュリティを高めるのはもちろん、不正アクセスが行われた場合に被害が拡大するのを防ぐ効果が期待できます。
アクセス制御方式(アクセス制御モデル)は大きく3つに分かれます。
企業で実際に行われているアクセス制御のなかで、最も一般的なモデルが任意アクセス制御です。任意アクセス制御は英語の頭文字をとって「DAC」とも呼ばれ、一般ユーザーが自分でシステム上のアクセス制御を行う方法です。ネットワーク上にはシステムの管理者やユーザーグループといったさまざまな身分の人たちが存在し、それぞれにアクセス制御できる権限を持っています。たとえば、Windows にログインしたユーザー自身が作成したファイルの「読み取り、書き込み、実行の可否」といった制限を自由に設定することが可能です。また、その際にシステムの所有者やグループ、すべてのユーザーといった属性を設定することもできます。つまり、実質的に作成したファイルにおけるアクセス制御の権限をすべて与えられている状態です。
作成したファイルを自身の管理下でアクセス制御できることで柔軟な対応が可能になるため、ユーザーの自由度が高く、管理者の手間をかけないという点ではメリットがあります。ただし、すべてのユーザーにファイル管理する権限を与える形になるため、ルールの統一が難しく、セキュリティ面ではあまり効果が期待できません。重要度の高い情報を扱う場合には、そのほかのアクセス制限方法と組み合わせて考える必要があるでしょう。
任意アクセス制御はユーザーが手軽に行えるアクセス制御方法ですが、セキュリティ機能としてはそれほど高くないという欠点がありました。任意アクセス制御よりもセキュリティを高めた方法として、強制アクセス制御というモデルがあります。強制アクセス制御は英語の頭文字をとって「MAC」とも呼ばれ、1人の管理者にルールを決める権限を与えるのが特徴です。つまり、管理者以外のユーザーはルールを変更することはできません。それはシステムの所有者であろうとも同様です。自由にルールを設定することが不可能になるので、任意アクセス制御方式よりも一般的にセキュリティレベルは高くなります。
アクセス制御においては、ユーザーを英語で能動的を意味するサブジェクト、ユーザーにアクセスされるシステム側を受動的を意味するオブジェクトと呼ばれます。強制アクセス制御では、サブジェクトとオブジェクトの両方に対してセキュリティレベルを設定し、そこで生じる差を比較することでアクセス制限を実行する仕組みです。多くのアクセス制御において、強制アクセス制御は採用されています。
役割ベースアクセス制御は「RBAC方式」とも呼ばれ、任意アクセス制御と強制アクセス制御の中間に位置するアクセス制御方式です。サブジェクトとオブジェクトに分けてアクセス制御する点では強制アクセス制御と同じですが、サブジェクト側の役割に応じたアクセス制御を実行する点で異なります。ユーザーはそれぞれシステムで割り振られた役割を果たすための機能に制限がかけられており、その制限を超える行動をすることはできません。つまり、すべての機能を制限するのではなく、一部のアクセス制御を行う方式です。
実際に活用されている現場としては、業務の担当者に必要な範囲のみのアクセス権を付与する場合が挙げられます。役割ベースアクセス制御は特に1人ではなく複数の部署などにまたがって作業を行う場合に有効です。それぞれの部署に適した権限を与えることで、効率的な作業を可能にするとともに、必要以上の権限を与えないことでセキュリティの向上に役立ちます。
すべてのユーザーに対してアクセス制御することを、「グローバルなアクセス制御」と呼びます。グローバルアクセス制御を行う前に、まずは分散管理設定を有効にしておきましょう。分散管理設定を有効にしたら管理サーバーへアクセスし、「Global Settings」をクリックします。次に「Administer Access Control」のリンクをクリックし、ドロップダウンリストにある管理サーバーから「GO」を選び、データをロードしましょう。すると、「New ACL」(または「Edit ACL」)が表示されるので選択します。プロンプトが表示されたら認証すると、「Access Control Rules For」ページが表示されますが、もしも「Access control Is On」にチェックが付いていない場合はチェックマークを付けておきましょう。テーブルの最下行にACL規則を追加したい場合は、「New Line」ボタンを選択します。アクセス制御の制限位置を変更したい場合は、上または下向き矢印をクリックです。
その後は、ユーザーやグループ、ホストなど制限したい人を選択する作業に入ります。ユーザーやグループを制限する場合は、「Users/Groups」列にある「Anyone」をクリックします。すると、下のフレームに「Users/Groups」ページが表示されるので、アクセスを許可するユーザーやグループを選択します。「List」ボタンをクリックすると、グループまたはユーザーの選択肢が表示されるので、活用しましょう。ホストを制限する場合は、「From Host」列の「Anyplace」です。すると、下のフレームに「From Host」ページが表示されるので、「Program Groups」、または「Program Items」を選択し、アクセスを許可する特定のファイル名を入力した後で、「Update」をクリックしましょう。アクセス制御規則を保存する場合は、「Submit」をクリックすれば実行されます。
サーバーマネージャーを使用することで、特定のサーバーインスタンスに対してアクセス制御の設定が可能になります。ただし、1つ以上のACL規則がないとサーバーが正常に起動されないので、削除を実行するときにすべて削除しないように気をつけましょう。すべてのACL規則を削除してしまうと、サーバーを再起動したときに構文エラーが発生します。サーバーインスタンスにアクセス制御を設定する方法は、まず、サーバーマネージャーにアクセスした後で、サーバーインスタンスを選択し、「Preferences」をクリックします。次に「Administer Access Control」というリンクをクリックしましょう。
すると、表示される3つの方法のうち1つのACLを選択して作業を進めなくてはいけません。1つ目は「Select A Resource」で、ACLを使用するリソースを表示しながらアクセス制限を実行する方法です。2つ目は「Select An Existing ACL」で、有効なACLをすべて表示してくれます。ただし、有効になっていないACLは表示されないので、ドロップダウンリストから選択しなければいけません。3つ目は「Type In The ACL Name」で、名前が付いているACLを作成する方法です。3つのうちどれを採用するか決めたら、対応する方法の「Edit」ボタンをクリックすると、「Access Control Rules For」ページが表示されます。
「Access control Is On」にチェックを付けることや、テーブルの最下行にACL規則を追加するときに「New Line」ボタンをクリックするのは、グローバルなアクセス制御と同様の操作です。
サーバーインスタンスでACLを編集するためには、「Action」列でアクションをクリックしなければいけません。すると、下のフレームに「Allow/Deny」ページが表示されるはずです。選択されていない場合は、「Allow」を選択し、「Update」をクリックしましょう。アクセス許可する予定のユーザーやグループを選択するときは、「Users/Groups」列の「Anyone」です。アクセスを許可するホストを選択するときは、「From Host」列の「Anyplace」からホスト名とIPアドレスを入力します。該当ユーザーの権限を指定するためには、「Rights」列の「All」をクリックすると表示される「Access Rights」から行います。設定し終わったら「Update」をクリックし、保存する場合は「Submit」をクリックしましょう。
アクセス制御には任意アクセス制御、強制アクセス制御、役割ベースアクセス制御の3つがあります。任意アクセス制御はユーザーが自由にアクセス制御をできる権限が与えられているので利用者にとっては便利ですが、セキュリティ面で多少不安です。強制アクセス制御は1人の管理者にアクセス制御できる権限を与えるので、セキュリティが強固になりやすい点はメリットです。ただし、ユーザーは管理者から与えられた権限を守らなくてはいけないので、自由度は下がります。任意アクセス制御と強制アクセス制御の中間にあたるのが、役割ベースアクセス制御で、一部の権限を制御する方法です。複数の部署に一定の権限を与えることで、セキュリティを強化しつつ効率的な業務を期待できます。
アクセス制御の方法にはそれぞれにメリット・デメリットがありますが、大切なことはどれも企業のセキュリティ強化には役立つということです。アクセス制御の実行方法については少し複雑な部分もあるので、分からないことがあれば専門家に相談してみましょう。専門家に相談することで、理解が進んで不安が解消されることもよくあります。
アクセス制御を導入することで企業のセキュリティを高め、大切な情報を守ることが可能です。セキュリティが強化されるということは企業の信頼性を高めることにつながり、ひいては企業価値の向上にも役立つことでしょう。そのため、企業の経営者やIT担当者はアクセス制御の基本的な考え方を押さえておくことが大切です。ただし、セキュリティ対策は中途半端な知識で初めても効果がない可能性があります。分からないことがあれば専門家に相談することが重要です。専門家のサポートを受けながら、企業のセキュリティ強化を進めていきましょう。