アクセス制御におけるセキュリティ三原則とは?

アクセス制御におけるセキュリティ三原則とは?

今回は、コンピューターセキュリティの最初の防衛線であるアクセス制御とはどんなものなのか、 その概要をみていきましょう。

アクセス制御は、広い意味ではコンピュータセキュリティに限らず、物理的なセキュリティを指すこともあります。 物理的セキュリティとは、例えば、施設などの入口で入場者を制限し、許可された人にだけ施設内への進入を許可することです。

これに対して、コンピュータセキュリティにおけるアクセス制御とは、 あるサブジェクト(ユーザーの操作など)が、どのオブジェクト(システムやファイル等のリソース)に対し、 どのような操作(読む、書く、実行する)ができるか、許可・拒否を設定して管理する機能のことです。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

アクセス制御の概要

アクセス制御では、以下を管理することになります。

  • どのユーザーが対象者となるか
  • どのシステムにアクセスできるか
  • システム上でユーザーが行うことのできる操作の範囲

アクセス制御においては、 識別、認証(I&A)、認可、説明可能性(アカウンタビリティー)の4つが提供されます。

識別とは

ユーザーがID等により自分が何者かを名乗るプロセスのことです。

認証とは

パスワード等によりユーザーが本人であることに間違いがないか検証することです。

認可とは

IDとパスワードにより認証された者が行うことのできる操作の範囲を決定します。

説明可能性(アカウンタビリティー)とは

そのユーザーが何をしたかを過去にさかのぼって特定できる機能です。

セキュリティの三原則

アクセス制御においては、セキュリティの三原則を念頭に置かなくてはなりません。

セキュリティの三原則とは、 機密性(Confidential)、整合性(Integrity)、可用性(Availability)の3つを指します。 この3つの英語の頭文字をとってCIAと呼ばれることもあります。

機密性とは

アクセス権のある個人やプログラムに対してのみ情報が開示され、 権限のないサブジェクトには情報開示が拒絶されることを保証する原則です。 機密性を保持するためには、パスワードなどの認証の強化が大切です。

整合性とは

データやリソースが間違いなく正当なものであり、 権限のないサブジェクトからの改ざんを受けていない状態であることを保護する原則です。 整合性を確保するためには、脅威や誤動作への対策が大切です。

可用性とは

機密性や整合性を維持しつつも、データやリソースを正当なユーザーが適切に利用できるようにしておくという原則です。 情報資産は正しく利用されてはじめて価値があるものですから、 可用性を確保できなければ適切なアクセス制御ということはできません。

現在ではこの三原則に、管理統制と利便性を加えた五つをセキュリティ原則とする場合や、 責任追跡性、真性、信頼性を加えて六要素とする場合もあります。 いずれにしても、CIAの三つの要素が最も肝心であることには変わりはありません。

Need to knowの原則と最小特権(Least Privilege)の原則

組織における情報セキュリティにおいては、データの所有者や上級管理職が、 所有する情報やシステムへのアクセスにどのような制限を行うか定義します。 その後、セキュリティ管理者がユーザーに対する具体的なアクセス制御を設定することになります。

サブジェクトのアクセス権の範囲決定の際は、 以下の2つの原則が達成できるよう、配慮する必要があります。

・ユーザーが、タスクや業務を実行する際の必要性に基づいてデーターリソースにアクセスできること(Need to knowの原則
・不必要な情報へのアクセスをユーザーに許すことなく、業務やタスクを行うために必要最小限の権限のみを与えること(最小特権の原則)

組織では業務遂行のため、「職務分掌」という異なる部門にタスクを分散することがあります。 この場合、組織に属するユーザーは、自分の所属する部門の業務において必要な範囲についてのみ、 情報にアクセスできることになります。