アクセス制御とは

アクセス制御とは、セキュリティの認可手法の 1 つであり、ユーザーまたはシステムが IT インフラストラクチャ内で表示または利用できる具体的なリソースを決定します。

不正アクセスから機密情報を守ることを基本的な目的とするサイバーセキュリティに不可欠な要素です。アクセス制御は、ユーザーまたはシステムの認証情報の正当性を確認した後、その ID のロールまたはクリアランスの程度に応じて適切なレベルのアクセスを許可することで成立します。リアルタイム監視、コンプライアンス、レビューを含む複数のメカニズムが、アクセス制御による組織のセキュリティ対策の改善と脅威の軽減を確かなものにしています。

セキュリティ自動化のユースケースを見る 

一般的なアクセス制御モデルは 6 種類あります。それぞれのモデルで、ユーザー権限がどのように管理されるのかを見ていきましょう。

ロールベースのアクセス制御 (RBAC)

このモデルは、割り当てられたロールと責任に基づいて、ユーザーのアクセスを許可または拒否します。ユーザーがアクセスできるリソースはロールによって決まり、システム管理者はユーザーに割り当てられたロールに基づいてアクセス権を直接管理できます。RBAC はロール階層をサポートしており、上位のロールが下位のロールからアクセス権限を継承することもできるため、管理を単純化するのに有効です。たとえば、「スタッフ」 ロールのユーザーは、読み取り専用またはファイル共有アクセスなどの制限された権限を持つのに対し、「マネージャー」は「スタッフ」ユーザーのすべての権限に加え、追加のアクセス権を持っています。RBAC は、ゼロトラストセキュリティの基礎となる最小権限の原則 (PoLP) に従っています。

ルールベースのアクセス制御 (RuBAC)

このモデルでは、個々のユーザーに対する基準や条件を含む、あらかじめ決められた一連のルールに基づいてアクセスが許可または拒否されます。実装には、ユーザー固有のニーズの特定、そのニーズに対応するルールを定義する ID 管理とアクセス管理 (IAM) ポリシーの作成、そしてセキュリティを強化するための条件の適用が含まれます。ルールは通常、アクセス時間、IP アドレス、多要素認証などの条件に基づきます。たとえば、「営業時間中のみ」、「ユーザーが仮想プライベートネットワーク (VPN) に安全にログインしている場合」、あるいは「オンプレミス・アプリケーション使用時のみ」などの条件でアクセスを許可できます。

強制アクセス制御 (MAC)

このセキュリティ技法は、システム管理者が設定した固定の強制ポリシーとルールに基づいてアクセス制限を適用するもので、ユーザーが権限を変更することはできません。ユーザーがアクセスを変更できないようにすることで、機密情報が絶対的なセキュリティプロトコルに従って確実に保護されます。この方式では、各ユーザーにあらかじめ決められたセキュリティレベルが割り当てられ、リソースは機密レベルに応じて分類されます。ユーザーのセキュリティレベルがリソースの分類レベルと同等またはそれ以上かどうかで、アクセスが許可または拒否されます。

間違えてはならないのは、MAC はロールベースとルールベースを組み合わせたものではないということです。MAC の中心的な機能は強制ルールの適用ですが、セキュリティレベルにかかわらず、ユーザーがアクセス権限を制御することはできません。また、セキュリティレベルはユーザーのロールによって決まるものではありません。ただし、特定のデータセキュリティシステムにおいて、MAC を RBAC の概念と統合することは可能です。

任意アクセス制御 (DAC)

この柔軟なリソースセキュリティ管理方式では、リソース所有者の裁量によってユーザーアクセスの割り当ておよび取り消しが行われます。ユーザーが個人用クラウドでファイルを作成またはアップロードする際、ユーザーは各ファイルに対する権限を指定し、一般公開するのか、特定のユーザーにアクセスを許可するのか、非公開にして所有者のみ使用できるようにするのかを決められます。この種類のアクセス制御はファイルシステムで一般的であり、リソース所有者はいつでも権限を更新したりユーザーアクセスを削除したりできます。

属性ベースのアクセス制御 (ABAC)

ABAC は、ユーザー、リソース、環境の属性に基づくもので、これら複数の特性を同時に評価します。たとえば、ユーザーがクラウドサービスにログインするために認証情報を入力すると、システムはユーザーのプロファイルからユーザーのロールや権限などの属性を取得します。続いてシステムは、ファイルの種類、所有権、機密度などのリソース属性と、アクセス時刻、ユーザーのロケーション、ユーザーがセキュアなネットワーク上でアクセスを要求しているかどうかなどのコンテキスト属性を特定します。そして、複合的に見て属性がセキュリティポリシーを満たしているかどうかを評価し、アクセスを許可するか拒否するかを判断します。

アクセス制御リスト (ACL)

ACL は、ユーザーまたはシステムの権限と、リソースにアクセスした後に許可されるアクションを定義するリストです。このリストは通常、システム管理者が作成して管理しますが、自動化システムの中には、あらかじめ決められたルールやポリシーに基づいて ACL を生成できるものもあります。

必要なアクセス制御方式が 1 つであっても、複数であっても、それらは IT インフラストラクチャに必要不可欠なコンポーネントです。セキュリティとコンプライアンスの両方のニーズを評価し、組織に最適なアクセス制御モデルを判断してください。

セキュリティ運用センターを単純化する 

アクセス制御リスト (ACL) とは、コンピュータ環境において、どのユーザーまたはエンティティが特定のファイルやリソースにアクセスできるか (またはできないか) を指定する一連のルールです。より正確に言うと、ACL はシステムリソースに関連付けられたフィルターとして機能します。たとえば、ユーザーがリソースにアクセスしようとすると、システムはそのリソースにリンクされた ACL を照合し、ユーザーの ID と ACL に記載された内容を比較します。一致するレコードが見つかれば、そのユーザーには指定された権限でリソースへのアクセスが許可されます。一致するレコードがない場合には、アクセスは拒否されます。ファイアウォールと同様に、ACL はルールベースで、あらかじめ定義された基準に基づいてアクセス要求を評価します。ただし、ACL がユーザーの権限を指定するのに対し、ファイアウォールはネットワークトラフィックを承認または拒否するルールを定めます。

ACL には、次の 2 種類があります。

ファイルシステム ACL：この手法では、ファイルシステム内のコンテンツとディレクトリを定義して管理し、ファイルへのアクセスをフィルタリングします。ファイルシステム ACL は、あらかじめ設定されたルールに基づき、アクセスが許可されるユーザーと、そのユーザーにシステム内で与えられる特権をオペレーティングシステムに指示します。

ネットワーキング ACL：この手法では、ルーター、スイッチ、ファイアウォールなどのネットワークデバイスでアクセスをフィルタリングし、ネットワークにアクセスできるトラフィックと、ネットワーク内で許可されるアクティビティを指定することでセキュリティを管理します。

この基本的なセキュリティ機能は、ユーザーまたはシステムの識別方法を単純化し、機密情報の操作を管理する目的で、あらゆるセキュリティデバイスまたはルーティングデバイスに設定できます。 

ACL と RBAC はどちらもリソース管理の手法ですが、その仕組みが異なります。ACL がデータセキュリティの下位レベルで個々のユーザーの権限を制御するのに対し、RBAC 方式では、監督者である管理者が組織レベルでセキュリティを制御します。また、RBAC がユーザーのロールに基づいてセキュリティ管理を単純化する広範なアプローチを提供するのに対し、ACL はユーザーのロールに影響を与えることなく、リソースごとに個々のユーザーに適したより詳細なルールを適用できます。

RBAC は、ロールが明確に定義されている組織向けです。監視役である管理者のサポートのもと、全社的なセキュリティシステムとしての用途に最適です。一方 ACL は、個々のリソースに対する詳細な制御に最適で、アクセスを簡単に管理できる柔軟性を備えています。どちらを選択するかは、コンプライアンスや規制の監査など、組織の構造上およびセキュリティ上の要件に大きく依存します。監査には、システム管理者アクセスを持つユーザーや不正なトラフィックの数の特定などが含まれます。リソース管理を行うことで、データセキュリティの分析と見直しが容易になり、組織はコンプライアンスを維持できます。

ロールベースのアクセス制御の詳細

IT の自動化を行わなければ、組織は手作業せざるをえないため、生産時間も、運用コストも、そして不正アクセスを含むセキュリティ上の脆弱性も増大します。自動化により、ユーザープロビジョニング、システムアップデート、アクセスレビュー、監査の生成など、手作業では手間のかかるルーチンタスクが迅速に単純化され、ヒューマンエラーが減少します。企業が成長するにつれて、自動化は増加するデータやユーザーの管理を容易にし、リアルタイムでの検知と脅威への対応を可能にすることでセキュリティを強化します。

アクセス制御に加えて、自動化されたパッチ管理とセキュリティ情報およびイベント管理 (SIEM) を導入することで、IT セキュリティプロセスにおけるヒューマンエラーを最小限に抑え、コンプライアンスを向上できます。パッチ管理ソリューションは、自動化ソフトウェアと組み合わせることで、アクセス制御ポリシーを適用するシステムやアプリケーションにおける既知の脆弱性を修正できます。一方、SIEM の自動化により、リアルタイムでアクセスパターンを分析することで異常を検知し、イベントが発生した際にセキュリティチームに自動的にアラートを送信できます。SIEM は他にも、監査ログの自動化や、コンプライアンスを目的としたアクセスアクティビティの追跡および保存を行います。

アクセス制御に自動化が加わることで、企業は組織のニーズに沿ったアクセスを確保すると同時に、最小権限のアクセスポリシーを効果的に適用できます。

IT エグゼクティブのための自動化ガイド

Red Hat® Ansible® Automation Platform は、手動タスクを自動化して価値実現までの時間を短縮するとともに、先進的な企業に求められる規模、複雑性、柔軟性を備えた自動化を促進します。Ansible Automation Platform のコントロールプレーンである automation controller により、管理者はすべてのチームで自動化を定義、運用、権限委任することができます。粒度が小さい組み込み RBAC 機能を提供し、エンタープライズ認証システムと統合できるので、セキュリティとコンプライアンスの基準を満たす自動化が実現します。また、セキュリティ運用チームは Ansible Automation Platform を使用して、SOAR ソリューションなどの他のエンタープライズ・アプリケーションを管理できます。

コンテナ・オーケストレーションにおける IAM のセキュリティ、コンプライアンス、運用効率を向上させたい場合、Red Hat OpenShift® は pod、ノード、クラスタ全体へのユーザーアクセスの管理に役立ちます。エンタープライズ向けのハイブリッドクラウド・アプリケーション・プラットフォームである Red Hat OpenShift を使用することで、強力な Kubernetes コンポーネント (Kubernetes RBAC などのセキュリティ機能を含む) を活用しながら、コンテナ化アプリケーションを管理、デプロイ、拡張することができます。

automation controller を使い始める