データセキュリティ入門 — アクセス制御とコンプライアンス

導入

「社員が退職したのに、以前のIDで社内システムにアクセスできてしまった」――そんなトラブルが現実に起きています。データセキュリティは、情報を守るだけでなく「誰が・何を・どこまで使えるか」を管理する仕組みでもあります。

くわしく知ろう

データセキュリティの目的は、情報資産を3つの観点から守ることです。これをCIA三要素と呼び、機密性（Confidentiality：許可された人だけが見られる）・完全性（Integrity：データが改ざんされていない）・可用性（Availability：必要なときにアクセスできる）の3つを指します。

セキュリティ管理でよく混同されるのが、認証（Authentication）と認可（Authorization）の違いです。認証は「あなたは誰か」を確認する手続きで、ログイン時のIDとパスワードの入力がこれにあたります。一方、認可は「あなたは何ができるか」を決める仕組みで、ログイン後に一般社員が決算書を閲覧できないよう制限するのが認可の役割です。

アクセス制御のモデルとして広く使われているのが、RBAC（ロールベースアクセス制御）です。「営業部員」「経理担当」「管理職」のようにロール（役割）ごとに権限をまとめて付与する仕組みで、人事異動のたびに個人単位で権限を設定し直す手間を省けます。

データの暗号化も重要な対策です。保存されているデータへの暗号化（保存時暗号化）と、ネットワーク経由で送受信するデータへの暗号化（転送時暗号化）の2種類があります。

さらに、個人情報保護法やGDPR（欧州の個人データ保護規則）といった法令への対応も求められます。本番データを開発や検証に使う際は、データマスキング（特定の値を伏せ字にする）や匿名化（個人を特定できなくする）の処理が必要です。

具体例

たとえば、病院の電子カルテシステムでは、医師は全患者の記録を参照できますが、受付担当者は予約情報しか見られないように制御されています。これがRBACによるアクセス制御の実例です。一方、システム開発の現場では、本番の顧客データをそのまま使わず、氏名を「山田太郎→テストユーザー」と置き換えたマスキングデータをテスト環境で利用するのが一般的です。

まとめ・試験ポイント

• CIA三要素＝機密性・完全性・可用性
• 認証＝本人確認（誰か）、認可＝権限確認（何ができるか）
• RBAC＝ロール（役割）単位で権限をまとめて付与する仕組み
• 暗号化は保存時と転送時の2種類がある
• データマスキング・匿名化＝本番データを安全に活用するための加工技術
• 試験では認証と認可の違い、CIA三要素の定義が頻出