アクセス制御とアイデンティティ管理 — 誰がどのデータにアクセスできるか

導入

会社のシステムで「経理担当者は給与データを見られるが、営業担当者は見られない」という場面を思い浮かべてください。こうした仕組みを実現しているのがアクセス制御です。誰が何にアクセスできるかを適切に管理することは、情報セキュリティの基本中の基本になっています。

くわしく知ろう

アクセス制御とは、情報システムのリソース（データ・機能・ファイルなど）に対して「誰がどの操作を行えるか」を制限する仕組みを指します。認証（本人確認）と認可（権限の付与）という2つのステップで成り立っています。

RBAC（Role-Based Access Control：ロールベースアクセス制御）は、ユーザー個人ではなく「役割（ロール）」に権限を割り当てる方式です。管理者・一般ユーザー・閲覧専用ユーザーのようにロールを設定し、ユーザーをそのロールに所属させます。個人ごとに細かく権限設定するよりも管理が楽になります。

最小権限の原則とは、ユーザーや処理に対して「業務上必要な最低限の権限のみを与える」という考え方です。過剰な権限を与えると、万が一アカウントが乗っ取られた際の被害が拡大するため、この原則が情報セキュリティの設計では重視されています。

SSO（Single Sign-On：シングルサインオン）とは、一度の認証で複数のシステムやサービスを使い続けられる仕組みです。ユーザーの利便性を高めながら、パスワード管理の複雑さを減らす効果があります。企業内の複数システムや、GoogleアカウントでのSNSログインなどがこれにあたります。

具体例

たとえば、社内の人事システムで「人事ロール」の社員だけが給与情報を閲覧・編集でき、「一般ロール」の社員は参照不可とする運用がRBACの典型例です。また、GoogleアカウントでYouTubeやGmailにまとめてログインできるのがSSOの代表例になります。

まとめ・試験ポイント

• アクセス制御＝誰が何にアクセスできるかを制限する仕組み
• 認証＝本人確認、認可＝アクセス権限の付与（2つは別の概念）
• RBAC＝役割（ロール）単位で権限を管理する方式
• 最小権限の原則＝業務上必要な最低限の権限だけを与える
• SSO＝一度の認証で複数サービスを利用できる仕組み
• 試験では「RBACの特徴」「SSOの目的」「最小権限の原則」が頻出