アクセス制御の基礎まとめ【DAC・MAC・RBAC・ABACを解説】

アクセス制御の基礎に関するブログのアイキャッチ画像 セキュリティ
2024.02.02
広告

 このページでは,基本情報技術者試験をはじめとする情報処理技術者試験で必須となる,アクセス制御についてシンプルにまとめています。まず,アクセス制御(アクセスコントロール)の概要を整理し,次に,アクセス制御の機能(認証,認可,監査),さらに,アクセス制御の種類(DAC,MAC,RBAC,ABAC),アクセス制御技術(ファイアウォール,IDS,IPS)について解説します。

広告

アクセス制御(アクセスコントロール)とは(目的と概要)

 アクセス制御とは,コンピューターやネットワークなどにアクセスできる利用者を制限し,特定の条件を満たした利用者だけがアクセスできるようにすることをいいます。

アクセス制御の機能

認証とは(アクセス制御の基本)

 認証とは,システムの利用者や機器(物)などを,何かの情報を基にその真正性を確認することをいいます。本人認証のことを認証という場合が多いですが,他にも,送信データの改ざんの有無を確認するメッセージ認証や,あるデータがある時刻に存在し,その後,改ざんされていないことを確認する時刻認証などがあります。

※ 真正性…通信相手が主張どおり(本物)であることを確認する特性のこと

※ 認証についての詳細は,「認証の基礎まとめ」を参照

認証の基礎まとめ【本人認証・ディジタル署名・PKI・メッセージ認証を解説】
基本情報技術者試験など情報処理技術者試験で必須の,認証をシンプルに解説します。本人認証(パスワード・OTP・生体認証),電子署名,メッセージ認証,PKI,時刻認証まで試験頻出ポイントを体系的に整理しています。
johostudy.com
2026.03.01

認可とは(アクセス権の付与)

 認可とは,システムの利用者に,特定の操作の権限を付与することをいいます。たとえば,UNIX系のOSでは,ファイルやディレクトリーにアクセス権(パーミッション)を設定することができます。

lsコマンドの説明画像
アクセス権(パーミッション)とは(種類と意味)

 上の例で,アクセス権の最初の文字は,ファイルの種類を表します。「-」はファイルを,「d」はディレクトリーを表します。次の9文字は,3文字ずつ3つのグループに分けられ,それぞれ,所有者,(所有者の)グループ,その他のユーザーのアクセス権を表します。「r」は読み取り可能,「w」は書き込み可能,「x」は実行可能(ディレクトリーの場合は検索可能)を表します。

ファイルのアクセス権に関する説明画像

 この場合,所有者は,このファイルに対して読み取りと書き込みをすることができますが,グループとその他のユーザーは,読み取りしかできません。

 また,アクセス権については,数値で表すこともできます。

※ アクセス権の設定や変更の際には,この数値を使用する

アクセス権の変更に関する説明画像

監査の役割とは(ログと追跡)

 監査では,認証や認可のログを記録し,各ユーザーが想定どおりにアクセスしているか,あるいは,想定外のユーザーがアクセスしていないかなどを確認します。ログを記録することにより,仮に不正アクセスが発生した場合でも,その原因の分析と対策をすることが可能になります。

アクセス制御の主な種類

任意アクセス制御(DAC;Discretionary Access Control)とは(所有者による制御)

 任意アクセス制御とは,(ファイルなど)オブジェクトの所有者(ユーザー)がアクセス権を指定(制御)することをいいます。管理者の手間は省けますが,ユーザーごとに管理方法がバラバラになる恐れがあります。

強制アクセス制御(MAC;Mandatory Access Control)とは(管理者による一元制御)

 強制アクセス制御とは,管理者や担当者などがアクセス権を指定(制御)することをいいます。ユーザーがアクセス権を勝手に変更することはできませんので,機密文書などを取り扱う場合に向いています。

※ 一般ユーザーに対して,閲覧自体を拒否することもできる

役割ベースアクセス制御(RBAC;Role-Based Access Control)とは(役割に基づく制御)

 役割ベースアクセス制御とは,(役員や一般社員など)役割ごとにアクセス権を指定(制御)することをいいます。

属性ベースアクセス制御(ABAC;Attribute-Based Access Control)とは(属性による制御)

 属性ベースアクセス制御とは,(IPアドレスや時間など)属性ごとにアクセス権を指定(制御)することをいいます。

広告

アクセス制御技術の概要

ファイアウォールとは(ネットワーク境界の制御)

 ファイアウォールとは,必要な通信のみを通過(不必要な通信は遮断)させる,アクセス制御の概念のことをいいます。サーバーでソフトウェアとして動作するものや,専用の機器として提供されるものがあり,セキュリティレベルが異なるネットワークの間(セキュリティ境界)に設置されます。

※ ファイアウォールの詳細は,「ファイアウォールの基礎まとめ」を参照

ファイアウォールの基礎まとめ【仕組み・方式・DMZ・WAFまで解説】
基本情報技術者試験など情報処理技術者試験で必須の,ファイアウォールをシンプルに解説します。DMZ,パケットフィルタリング,プロキシ方式,ログ管理,WAFなどのしくみを理解しましょう。
johostudy.com
2026.03.01

侵入検知システム(IDS)と侵入防止システム(IPS)とは

侵入検知システム(IDS;Intrusion Detection System)とは(検知と通知)

 侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。

※ 不正アクセスを防止することはできない

侵入防止システム(IPS;Intrusion Prevention System)とは(検知と防止)

 侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。

※ 侵入検知システムを発展させたシステム

※ 侵入検知システム(IDS)と侵入防止ステム(IPS)の詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS)の基礎まとめ」を参照

侵入検知システム(IDS)と侵入防止システム(IPS)の基礎まとめ【仕組み・分類・検知方式を解説】
基本情報技術者試験など情報処理技術者試験で必須の,侵入検知システム(IDS)と侵入防止システム(IPS)をシンプルに解説します。NIDS,HIDS,NIPS,HIPS,シグネチャ型,アノマリ型,誤検知や見逃しを理解しましょう。
johostudy.com
2026.03.01

まとめ

 今回は,アクセス制御についてシンプルにまとめてみました。アクセス制御は,認証・認可・監査によって不正アクセスを防ぐ重要な仕組みです。DAC,MAC,RBAC,ABACなどの違いを整理し,それぞれの特徴を理解しておきましょう。

 理解が進んだら,過去問題等にもチャレンジしてみてください。

広告