访问控制とは
本文约需 2 分钟阅读
アクセス制御とは、ユーザーやシステムがリソース (ファイル、データベース、 ネットワーク機器など) にアクセスできる範囲を管理する仕組みです。 「認証 (誰であるかの確認)」と「認可 (何ができるかの決定)」の 2 段階で構成され、ゼロトラストセキュリティの根幹をなす概念です。2025 年現在、 ABAC や PBAC (ポリシーベースアクセス制御) の採用が進み、 コンテキストに応じた動的なアクセス判断が主流になりつつあります。
現場での使用例
「クラウド移行プロジェクトで IAM ポリシーを設計した際、開発チームには ステージング環境のフルアクセスと本番環境の読み取り専用権限を付与し、 本番へのデプロイは CI/CD パイプライン経由のみに制限しました。 この設計により、人為的な本番障害のリスクを大幅に低減できています。」
アクセス制御モデル比較
| モデル | 制御方式 | 柔軟性 | 主な用途 |
|---|---|---|---|
| DAC (任意) | 所有者が設定 | 高 | ファイルシステム |
| MAC (強制) | ラベルベース | 低 | 軍事・政府機関 |
| RBAC (ロール) | 役割に紐づけ | 中 | 企業 IT システム |
| ABAC (属性) | 属性の組み合わせ | 最高 | クラウド・ゼロトラスト |
主要なアクセス制御モデル
DAC (任意アクセス制御) はリソースの所有者が権限を設定するモデルで、 ファイルシステムの読み取り・書き込み権限が典型例です。 MAC (強制アクセス制御) はシステムがセキュリティラベルに基づいて アクセスを制御するモデルで、軍事・政府機関で採用されます。 RBAC (ロールベースアクセス制御) はユーザーの役割 (ロール) に 権限を紐づけるモデルで、企業の IT システムで最も広く使われています。 ABAC (属性ベースアクセス制御) は時間帯、場所、デバイスなどの 属性を組み合わせて動的に判断する最新のモデルです。アクセス制御設計の書籍 (Amazon)で体系的に学べます。
実務での設計シナリオ
たとえば EC サイトでは、一般ユーザーは自分の注文履歴のみ閲覧可能、 カスタマーサポートは顧客情報の参照のみ可能、管理者は全データの 読み書きが可能、という RBAC 設計が基本です。最小権限の原則に従い、 各ロールに必要最小限の権限だけを付与します。 クラウド環境では IAM (Identity and Access Management) ポリシーで 細かく制御でき、「開発者は本番データベースへの書き込み不可」 といったルールを強制できます。クラウドストレージの アクセス制御設定ミスによるデータ漏洩は頻発しており、 定期的な権限レビューが不可欠です。
運用のポイント
アクセス制御は「設定して終わり」ではなく、定期的な棚卸しが重要です。 退職者のアカウント削除漏れ、異動後の不要な権限の残存は権限昇格攻撃の 足がかりになります。パスつく.com で生成した強力なパスワードと多要素認証を 組み合わせ、認証の強度を高めましょう。クラウド権限管理の書籍 (Amazon)も参考になります。