アクセス制御の3つの要素 - TechRepublic

効果的なセキュリティは、関連する原則を理解することから始まります。今日の「ベストプラクティス」が明日のセキュリティの失敗となる世界では、単に記憶にある手順を形式的に適用するだけでは不十分です。ITセキュリティは急速に変化する分野であり、一般的に認められたプラクティスに必要なアクションを実行する方法を知っているだけでは、システムに可能な限り最高のセキュリティを確保することはできません。

最も基本的なセキュリティ概念の一つがアクセス制御です。これは非常に基本的な概念であるため、ITセキュリティだけでなく、あらゆるセキュリティに当てはまります。車への乗り込みから核ミサイルの発射まで、少なくとも理論上は、あらゆるものが何らかのアクセス制御によって保護されています。セキュリティに普遍的に適用できるため、アクセス制御は理解すべき最も重要なセキュリティ概念の一つです。

アクセス制御セキュリティを理解する鍵は、それを分解することです。アクセス制御には3つの中核となる要素があります。もちろん、ここではITセキュリティの観点から話していますが、同じ概念は他の形式のアクセス制御にも当てはまります。

1. 識別：アクセス制御を効果的に行うには、何らかの方法で個人を識別する必要があります。最も弱い識別機能は、システムへのアクセス権限を持つべきユーザーグループ（曖昧で定義が曖昧）の一部として、単に個人を識別するだけです。TechRepublic のユーザー名、PGP のメール署名、あるいはサーバークローゼットの鍵でさえ、何らかの形で個人を識別する手段となります。
2. 認証：識別には認証が必要です。これは、使用されているIDが真正であること、つまり適切な人物によって使用されていることを確認するプロセスです。ITセキュリティにおける最も一般的な認証は、ユーザー名にリンクされたパスワードを検証することです。指紋、スマートカード、暗号鍵など、他の認証方法も存在します。
3. 承認：特定のIDに許可される一連のアクションが承認の核となります。コンピューターでは、承認は通常、ユーザー名に関連付けられた読み取り、書き込み、実行の権限という形で行われます。

アクセス制御のこれら3つの要素を組み合わせることで、必要な保護が提供されます。少なくとも、回避できないように実装されている場合は、その保護が実現されます。ワークステーションやサーバー上の基本的なシステムユーティリティへの単純なアクセスを例に挙げると、識別はアカウンティング（つまり、ユーザーの行動を追跡すること）と認証のための情報を提供するために必要です。認証は、IDが不正な人物によって使用されないようにするために必要です。承認は、識別され認証されたユーザーが禁止された行為（すべてのバックアップを削除するなど）を行うことを制限します。

必要なセキュリティの種類に応じて、特定のケースにおいて、様々なレベルの保護が重要度に応じて異なります。会議室へのアクセスは、受付エリアにある簡単に破れる鍵ボックスに鍵を保管するだけで済むかもしれませんが、サーバーへのアクセスには、おそらくもう少しの注意が必要です。

多要素認証は最近、大きな注目を集めています。ごく普通のITプロフェッショナルからサポート技術者に至るまで、「多要素認証」の意味を理解するようになってきています。しかし残念なことに、エンドユーザーの多くは、パスワードを「単なる煩わしい事務手続き」と捉えており、同じようなセキュリティ意識を持っていません。

しかし、多くのIT部門は、アクセス制御の重要性を、思っているほどには認識していません。確かに、標準的なパスワード認証と指紋スキャナーを組み合わせた二要素認証でノートパソコンを保護しているかもしれません。しかし、サーバーに物理的にアクセスするために必要なのは鍵だけで、管理担当者でさえその鍵のコピーを持っている場合、ノートパソコンに搭載された指紋スキャナーはあまり意味を持ちません。

重要なデータをノートパソコンに保存していて、従業員がそれらをどこに持ち出すかについて明確な管理体制がない場合も同様です。指紋スキャナーを回避する方法はいくつかあります。LiveCDオペレーティングシステムから起動したり、ハードドライブを物理的に取り外して生体認証アクセス制御を提供していないシステムからアクセスしたりするなどです。一部の企業や政府機関は、ここ数ヶ月でノートパソコン管理の教訓を身をもって学びました。

ハイテクシステムを扱っているからといって、ローテクな窃盗犯からの保護が不要になるわけではありません。アクセス制御の基本を理解し、セキュリティ対策のあらゆる側面に適用しましょう。アクセス制御だけで完結する必要はありませんが、まずはそこから始めるのが良いでしょう。