アクセス制御は,基本情報技術者試験をはじめとする情報処理技術者試験で頻出となる重要分野です。アクセス制御のしくみや種類を正しく理解できていますか?
アクセス制御=特定の条件を満たした利用者だけにアクセスを許可するしくみ
このページでは,アクセス制御の基本的な考え方に加え,認証・認可・監査といった主要な機能,さらに,任意アクセス制御(DAC),強制アクセス制御(MAC),役割ベースアクセス制御(RBAC),属性ベースアクセス制御(ABAC)などの代表的な制御方式について体系的に整理し,シンプルにまとめています。加えて,ファイアウォールやIDS・IPSといったアクセス制御技術についても含めて,試験対策として重要なポイントを理解できるように構成しています。
アクセス制御(アクセスコントロール)とは(目的と概要)
アクセス制御とは,コンピューターやネットワークなどにアクセスできる利用者を制限し,特定の条件を満たした利用者だけがアクセスできるようにすることをいいます。
アクセス制御の機能
認証とは(アクセス制御の基本)
認証とは,システムの利用者や機器(物)などを,何かの情報を基にその真正性を確認することをいいます。本人認証のことを認証という場合が多いですが,他にも,送信データの改ざんの有無を確認するメッセージ認証や,あるデータがある時刻に存在し,その後,改ざんされていないことを確認する時刻認証などがあります。
※ 真正性…通信相手が主張どおり(本物)であることを確認する特性のこと
※ 認証についての詳細は,「認証の基礎まとめ」を参照
認可とは(アクセス権の付与)
認可とは,システムの利用者に,特定の操作の権限を付与することをいいます。たとえば,UNIX系のOSでは,ファイルやディレクトリーにアクセス権(パーミッション)を設定することができます。
アクセス権(パーミッション)とは(種類と意味)
上の例で,アクセス権の最初の文字は,ファイルの種類を表します。「-」はファイルを,「d」はディレクトリーを表します。次の9文字は,3文字ずつ3つのグループに分けられ,それぞれ,所有者,(所有者の)グループ,その他のユーザーのアクセス権を表します。「r」は読み取り可能,「w」は書き込み可能,「x」は実行可能(ディレクトリーの場合は検索可能)を表します。
この場合,所有者は,このファイルに対して読み取りと書き込みをすることができますが,グループとその他のユーザーは,読み取りしかできません。
また,アクセス権については,数値で表すこともできます。
※ アクセス権の設定や変更の際には,この数値を使用する
監査の役割とは(ログと追跡)
監査では,認証や認可のログを記録し,各ユーザーが想定どおりにアクセスしているか,あるいは,想定外のユーザーがアクセスしていないかなどを確認します。ログを記録することにより,仮に不正アクセスが発生した場合でも,その原因の分析と対策をすることが可能になります。
アクセス制御の主な種類
任意アクセス制御(DAC;Discretionary Access Control)とは(所有者による制御)
任意アクセス制御とは,(ファイルなど)オブジェクトの所有者(ユーザー)がアクセス権を指定(制御)することをいいます。管理者の手間は省けますが,ユーザーごとに管理方法がバラバラになる恐れがあります。
強制アクセス制御(MAC;Mandatory Access Control)とは(管理者による一元制御)
強制アクセス制御とは,管理者や担当者などがアクセス権を指定(制御)することをいいます。ユーザーがアクセス権を勝手に変更することはできませんので,機密文書などを取り扱う場合に向いています。
※ 一般ユーザーに対して,閲覧自体を拒否することもできる
役割ベースアクセス制御(RBAC;Role-Based Access Control)とは(役割に基づく制御)
役割ベースアクセス制御とは,(役員や一般社員など)役割ごとにアクセス権を指定(制御)することをいいます。
属性ベースアクセス制御(ABAC;Attribute-Based Access Control)とは(属性による制御)
属性ベースアクセス制御とは,(IPアドレスや時間など)属性ごとにアクセス権を指定(制御)することをいいます。
広告
アクセス制御技術の概要
ファイアウォールとは(通過制御と境界防御)
ファイアウォールとは,必要な通信のみを通過(不必要な通信は遮断)させる,アクセス制御の概念のことをいいます。サーバーでソフトウェアとして動作するものや,専用の機器として提供されるものがあり,セキュリティレベルが異なるネットワークの間(セキュリティ境界)に設置されます。
※ ファイアウォールは,ルーターなどに,機能の一つとして実装されることもある。OSなどに含まれることもある
※ ファイアウォールの詳細は,「ファイアウォールの基礎まとめ」を参照
侵入検知システム(IDS)と侵入防止システム(IPS)とは
侵入検知システム(IDS;Intrusion Detection System)とは(検知と通知)
侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。
※ 不正アクセスを防止することはできない
侵入防止システム(IPS;Intrusion Prevention System)とは(検知と防止)
侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。
※ 侵入検知システムを発展させたシステム
※ 侵入検知システム(IDS)と侵入防止システム(IPS)の詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS)の基礎まとめ」を参照
まとめ
今回は,アクセス制御について,認証・認可・監査の基本機能,およびDAC,MAC,RBAC,ABACといった制御方式,さらにファイアウォールやIDS・IPSなどの関連技術を中心にシンプルにまとめてみました。アクセス制御は,不正アクセスを防ぎ,システムやデータを保護するための重要なしくみです。特に,認証による利用者の確認,認可によるアクセス権の付与,監査によるログの記録と追跡という一連の流れを正しく理解し,各アクセス制御方式の特徴や違いを整理しておくことが重要です。試験では,これらの技術が組み合わされて出題されることが多いため,体系的に理解しておきましょう。
理解が進んだら,基本情報技術者試験の過去問題等にもチャレンジしてみてください。
