マネジメント系

アクセス制御とアイデンティティ管理 — 誰がどのデータにアクセスできるか

導入

会社のシステムで「経理担当者は給与データを見られるが、営業担当者は見られない」という場面を思い浮かべてください。こうした仕組みを実現しているのがアクセス制御です。誰が何にアクセスできるかを適切に管理することは、情報セキュリティの基本中の基本になっています。

なぜ重要か

情報漏えいや不正アクセスのニュースが後を絶たない現代において、アクセス制御はシステムを守る最初の防衛線です。ITパスポートのテクノロジ系分野では、認証・認可・RBACなどの用語が繰り返し出題されており、セキュリティ対策の根幹として理解が必須とされています。

実務の観点でも、内部不正による情報漏えいの多くは「必要以上の権限を持つユーザー」が原因とされています。適切なアクセス制御を設計することで、外部からの攻撃だけでなく、組織内部からのリスクも大幅に低減できます。クラウドサービスの利用が普及した今、誰が何にアクセスできるかを管理するアイデンティティ管理の重要性はさらに高まっています。

くわしく知ろう

アクセス制御とは、情報システムのリソース(データ・機能・ファイルなど)に対して「誰がどの操作を行えるか」を制限する仕組みを指します。大きく分けて認証(本人確認)と認可(権限の付与)という2つのステップで成り立っています。認証はパスワードや生体情報で「あなたは誰か」を確かめる段階で、認可は確認されたユーザーに「何が許可されているか」を決める段階です。

RBAC(Role-Based Access Control:ロールベースアクセス制御)は、ユーザー個人ではなく「役割(ロール)」に権限を割り当てる方式です。管理者・一般ユーザー・閲覧専用ユーザーのようにロールを設定し、ユーザーをそのロールに所属させます。個人ごとに細かく権限設定するよりも管理が楽になり、担当者が交代した際もロールを付け替えるだけで対応できます。

最小権限の原則とは、ユーザーや処理に対して「業務上必要な最低限の権限のみを与える」という考え方です。過剰な権限を与えると、万が一アカウントが乗っ取られた際の被害が拡大するため、この原則が情報セキュリティの設計では重視されています。

SSO(Single Sign-On:シングルサインオン)とは、一度の認証で複数のシステムやサービスを使い続けられる仕組みです。ユーザーの利便性を高めながら、パスワード管理の複雑さを減らす効果があります。企業内の複数システムや、GoogleアカウントでのSNSログインなどがこれにあたります。

具体例で理解する

たとえば、社内の人事システムで「人事ロール」の社員だけが給与情報を閲覧・編集でき、「一般ロール」の社員は参照不可とする運用がRBACの典型例です。また、GoogleアカウントでYouTubeやGmailにまとめてログインできるのがSSOの代表例になります。

試験での出題パターン

【パターン1:認証と認可の区別】

「パスワードを入力してログインする仕組み」は認証、「ログイン後に特定ファイルへの書き込みが許可されている仕組み」は認可です。問題文に「本人を確認する」という文脈があれば認証、「何ができるかを決める」という文脈であれば認可を選ぶとよいでしょう。2つをセットで問う問題も多く、それぞれの意味を正確に押さえることが得点につながります。

【パターン2:RBACの特徴を問う問題】

「ユーザー個人ではなくグループや役割に権限を割り当てる」という記述がRBACの正解となる問題がよく出ます。「全ユーザーに同一権限」「物理カードによる入退室管理」などの選択肢と混同しないよう、役割ベースという点を意識して覚えておくと安心です。

【パターン3:SSOと多要素認証の組み合わせ問題】

SSOはログインの手間を減らす利便性の話で、多要素認証(パスワード+スマホ認証など複数の方法で本人確認)はセキュリティ強度を高める話です。目的が異なるため、混同しないよう区別して理解しておいてください。

よくある間違い・紛らわしいポイント

【認証と認可は別の概念】

「認証=ログイン処理」と覚えてしまうと、認可との区別が曖昧になります。認証はあくまで「誰か」を確かめるステップ、認可は「何をしてよいか」を決めるステップです。SSOは1回の認証で複数サービスにアクセスできる仕組みですが、各サービスでの権限(認可)は別途管理されています。

【RBACとDAC・MACの違い】

アクセス制御の方式には、データの所有者が権限を自由に設定できるDAC(任意アクセス制御)や、システム管理者がセキュリティレベルで制御するMAC(強制アクセス制御)もあります。試験でRBACと並んで選択肢に登場することがあるため、「役割に基づく」という点がRBACの特徴だと明確に押さえておいてください。

【最小権限の原則はRBACだけの話ではない】

最小権限の原則はRBACを含むあらゆる権限管理に適用できる普遍的な考え方です。「RBACを使えば最小権限が自動的に実現される」というわけではなく、ロールの設計段階で意識的に権限を絞り込む必要があります。

まとめ・試験ポイント

  • アクセス制御=誰が何にアクセスできるかを制限する仕組み
  • 認証=本人確認、認可=アクセス権限の付与(2つは別の概念)
  • RBAC=役割(ロール)単位で権限を管理する方式
  • 最小権限の原則=業務上必要な最低限の権限だけを与える
  • SSO=一度の認証で複数サービスを利用できる仕組み
  • 試験では「RBACの特徴」「SSOの目的」「最小権限の原則」が頻出

学習した内容を試験形式で確認しよう。ITパスポート入門試験100問に挑戦できます。

入門試験100問に挑戦する