Trace Id is missing
メイン コンテンツへスキップ
Microsoft Security

アクセス制御とは?

アクセス制御はセキュリティの中核的要素の 1 つであり、特定のアプリ、データ、リソースへのアクセスを誰に、どのような条件下で許可するかを正式に決めることです。

資産を保護する

アクセス制御の定義

アクセス制御はセキュリティの主要要素の 1 つであり、特定のデータ、アプリ、リソースへのアクセスを誰に、どのような状況のときに許可するかを決めることです。物理的なスペースを鍵や、事前承認済みの招待客リストで保護するのと同じように、アクセス制御のポリシーでデジタルのスペースを保護します。言い換えると、適切な人物だけを招き入れ、そうでない人物は立ち入りを禁止します。アクセス制御のポリシーは、認証と認可のような手法に大きく依存しています。これで、ユーザーが名乗るとおりの人物であることと、そのユーザーに適切なレベルのアクセス権がコンテキスト (たとえばデバイス、場所、役割など) に基づいて付与されていることの両方を、明示的に確認することができます。

アクセス制御を実施すると、秘密情報 (たとえば顧客データや知的財産) が悪意のあるアクターやその他の権限のないユーザーに盗まれるのを防ぐことができます。また、従業員によるデータ持ち出しのリスクも縮小され、Web ベースの脅威を食い止めることができます。アクセス許可を手作業で管理する代わりに、セキュリティ ドリブンの組織の多くは ID およびアクセスの管理のソリューションを導入してアクセス制御ポリシーを実装しています。

アクセス制御の種類

アクセス制御の主な種類は 4 つあり、それぞれが独自の方法で機密情報へのアクセスを管理します。

随意アクセス制御 (DAC)

DAC (Discretionary Access Control) モデルでは、保護されるシステム内のオブジェクトそれぞれに所有者があり、ユーザーへのアクセス権付与は所有者が随意に行います。DAC では、リソースに対するケースバイケースの制御が可能です。

強制アクセス制御 (MAC)

MAC (Mandatory Access Control) モデルでは、ユーザーへのアクセス権付与はクリアランスの形で行われます。中央機関がアクセスの権利を規制してアクセス権をいくつかのレベルに分類し、これらのレベルのスコープは一律に拡張します。このモデルは、政府機関や軍事組織できわめて一般的です。

ロールベースのアクセス制御 (RBAC)

RBAC (Role-Based Access Control) モデルでは、アクセスの権利の付与の基準は定義済みのビジネス機能に基づいて行われます (その個人が誰であるか、あるいは上級職かではなく)。この目標は、そのユーザーの仕事を遂行するのに必要なデータのみを提供し、それ以外のデータは提供しないことです。

属性ベースのアクセス制御 (ABAC)

ABAC (Attribute-Based Access Control) モデルでは、アクセス権の付与は柔軟に、属性と環境条件の組み合わせ (たとえば時間と場所) に基づいて行われます。ABAC は最も粒度の高いアクセス制御モデルであり、ロール割り当ての数を減らすのに役立ちます。

アクセス制御のしくみ

最も単純な形のアクセス制御では、ユーザーの資格情報に基づいてそのユーザーが誰であるかを特定し、認証が完了したら、適切なレベルのアクセス権を認可します。

パスワード、PIN、セキュリティ トークン、および生体スキャンはどれも、ユーザーの本人識別と認証に一般的に使用される資格情報です。多要素認証 (MFA) は、セキュリティの層を 1 つ追加するためにユーザーの確認を 2 種類以上の方法で行うことを必須にするというものです。

ユーザーの ID の認証が完了した後に、アクセス制御ポリシーによって特定のアクセス許可が付与されて、ユーザーは意図したとおりに次に進むことができます。

アクセス制御の価値

アクセス制御のゴールは、機密情報が悪意のあるアクターの手に渡るのを防ぐことです。機密データへのサイバー攻撃は、深刻な結果をもたらすことがあります。たとえば、知的財産の漏洩や、顧客や従業員の個人情報の流出、さらには会社の資金の損失などもあります。

アクセス制御は、セキュリティ戦略に欠かせない構成要素です。また、データ不正アクセスのセキュリティ リスクを最小化したい組織にとって最高のツールでもあります。特に、データをクラウドに保管している場合です。

不正アクセスされやすいデバイスが増えると、高度なアクセス制御ポリシーを持たない組織のリスクも上昇します。ID (アイデンティティ) およびアクセス管理のソリューションを利用すると、このようなポリシーの管理をシンプルにすることができますが、データがいつ、どのようにアクセスされるかのガバナンスの必要性を理解することが第一歩です。

アクセス制御を実装する方法

ゴールを明らかにして結束する

アクセス制御のソリューションの導入がなぜ重要かについて、意思決定者との間で認識をそろえます。これを行う理由は多数あります。組織から見たリスクを縮小することについては、言うまでもありません。アクセス制御ソリューションを導入するその他の理由としては、次のようなものがあります。

仕事効率化: 従業員がそれぞれの目標を達成するのに必要なアプリとデータへの正式なアクセス権を、その従業員が必要としているときに付与します。
セキュリティ: 機密性の高いデータとリソースを保護してユーザー アクセスの摩擦を減らすために、レスポンシブなポリシーを導入し、脅威が発生したときにリアルタイムでエスカレーションさせます。
セルフサービス: ID 管理、パスワードのリセット、セキュリティ監視、アクセス要求を委任して時間とエネルギーを節約します。

ソリューションを選ぶ

組織のデータを安全に守ると同時に優れたエンドユーザー エクスペリエンスを保証できるような、ID (アイデンティティ) とアクセスの管理のソリューションを選びます。理想的なソリューションとは、組織のユーザーと IT 部門の両方に最高レベルのサービスを提供できるものです。つまり、従業員がシームレスにリモート アクセスでき、管理者はその時間を節約できます。

しっかりとしたポリシーを設定する

選んだソリューションの導入を開始したら、組織のリソースに誰がアクセスできるか、それぞれがどのリソースにアクセスできるか、およびどのような条件でアクセスを許可するかを決定します。アクセス制御のポリシーを設計するにあたっては、アクセス権を付与するか、セッション制御を使用してアクセスを制限するか、それともアクセスを禁止するかのすべてを、ビジネスのニーズに基づいて決定できます。

この過程では、次のような事項を明確にする必要があります。

• どのユーザー、グループ、役割、またはワークロード ID をそのポリシーに含めるか、またはポリシーから除外するか。
• どのアプリケーションにこのポリシーを適用するか。
• どのユーザー アクションがこのポリシーの対象か。

ベスト プラクティスに従う

ポリシー構成の誤りが原因でアクセス不可になるという事態を回避するために、緊急アクセス アカウントを設定しておきます。条件付きアクセス ポリシーをすべてのアプリに適用します。ポリシーを実際の環境で施行する前にテストします。すべてのポリシーの命名標準を設定しておきます。混乱の発生に備えます。適切なポリシーの設定が完了すると、管理者の不安は少し解消されます。

アクセス制御のソリューション

アクセス制御は基本的なセキュリティ施策の 1 つであり、どの組織もデータを漏洩や持ち出しから安全に守るためにこれを実装することができます。

Microsoft Security の ID (アイデンティティ) およびアクセス管理のソリューションは、組織の資産を常に保護するものですが、これは日常業務がクラウドに移行された後でも継続します。

大切なものを守りましょう。

Microsoft Security についてさらに学ぶ

個人のアクセス制御

パスワードレスのサインインを実現し、無許可でのアクセスを防ぐには Microsoft Authenticator アプリを使用します。

詳細情報

企業のアクセス制御

重要な資産を保護するための統合型の ID およびアクセス管理ソリューションが Microsoft Security から提供されています。

詳細情報

学校のアクセス制御

学生と職員が簡単にサインオンでき、それぞれの個人データの安全を保てるしくみを用意しましょう。

詳細情報

Microsoft Entra ID

お客様の組織を ID およびアクセス管理で安全に守ります (旧称 Azure Active Directory)。

詳細情報

Microsoft Entra Permissions Management

エンタープライズ組織全体の ID アクセス許可を可視化し、ユーザーそれぞれのリスクを監視します。

詳細情報

よく寄せられる質問

  • セキュリティ分野におけるアクセス制御システムとは、デジタル資産 (ネットワーク、Web サイト、クラウド リソースなど) へのアクセスを意図的に制限するテクノロジのことです。

    アクセス制御システムによって、サイバーセキュリティの原則 (認証と認可など) が適用され、これでユーザーは自称するとおりの人物であることが確認され、事前定義された ID とアクセスのポリシーに基づいて特定のデータへのアクセスの権利が付与された状態になります。

  • クラウド ベースのアクセス制御テクノロジは、組織のデジタル資産全体に対するコントロールを行います。クラウドの効率を活かして動作するので、オンプレミスのアクセス制御システムの運用と保守のコストは不要になります。

  • アクセス制御は、データ窃盗、破損、流出に対する保護に役立ちます。ユーザーの ID つまり身元と資格情報が確認済みの場合に限り、特定の情報へのアクセスがそのユーザーに許可されるからです。

  • アクセス制御とは、特定の情報の閲覧と使用を誰に許可するかを選択的に規制することです。アクセス制御には、物理的と論理的の 2 種類があります。

    • 物理的アクセス制御 は、物理的な場所へのアクセスを制限することです。この手段としては、錠前と鍵のようなツールや、パスワードで保護されたドア、警備員による監視などがあります。
    • 論理的アクセス制御 は、データへのアクセスを制限することです。この手段としては、身元の特定、認証、認可などのサイバーセキュリティ手法が使用されます。

  • アクセス制御は、ゼロ トラストというモダンなセキュリティ理念の機能の 1 つです。ゼロ トラストとは、明示的な確認と最小特権アクセスなどの手法を適用することによって、機密情報をセキュリティで保護し、悪意のある人物の手に渡ることを防ぐものです。

    アクセス制御は、認証と認可という 2 つの主要原則に大きく依存します。

    • 認証 (Authentication) では、ユーザーの身元をそのログイン資格情報 (ユーザー名とパスワード、生体スキャン、PIN、セキュリティ トークンなど) に基づいて特定します。
    • 認可 (Authorization) はユーザーに、アクセス制御ポリシーで決定された適切なレベルのアクセス権を与えることです。これらのプロセスは自動化されるのが一般的です。

Microsoft Security をフォロー