アクセス制御とは?

今回より、アクセス制御の解説に入ります。まずアクセス制御とはなんでしょうか、その点を再確認することから初めていきたいと思います。

アクセス制御とは、ユーザーがどのリソースにアクセスできるか、あるいはどの処理を実行していいかなど、システムでのユーザーの活動を規定することです。正当な必要性と権限をもつユーザーだけが、システムへアクセスし処理できるようにするための施策になります。

アクセス制御には管理的、論理/技術的、物理的な手段があります。アクセス制御を実施する上で重要なのは、組織のアクセス制御ポリシーを明確に定めておくことです。そのためには、きちんと文書化しておく必要があります。

アクセス制御ポリシーには2つの重要な原則があります。CISSP試験を受けるにあたっては、確実に問われる考え方なので、よく抑えておきましょう。




①「職務の分離(Separation of Duty)」

業務プロセスの個々の段階がそれぞれ異なる人物によって実行されるようプロセスを設計することを意味します。これにより共謀しない限り個人的利益のためにシステムを操作できなくなるメリットがあります。

②「最少権限(Least Privilege)」

別名で「知る必要性」ともいわれます。ユーザーがアクセスできるリソースは各自の職務に必要なもののみとして、それ以上にもそれ以下にもしないという考え方です。

また、用語の定義として、クリアランスという言葉を覚えておきましょう。情報を取り扱う資格のことで、これの保有状況に基づいてアクセスが承認されます。

目次
次回の記事へ
前回の記事へ