アクセスコントロールとは?サイバーセキュリティにとってそれはどの程度重要なのか?
目次
デジタルセキュリティの専門家は、日々厳しい選択に直面しています。そのひとつが、勤務先の重要なリソースを守ることです。一方で、従業員が仕事に必要なすべてのツールやリソースにアクセスできるようにしなくてはなりません。
強力なアクセスコントロールポリシーは、この両方の実現を可能にします。
アクセスコントロールには、認証情報の検証、アクセス管理、システムの定期的な監視が含まれます。多数の業界で、様々な法律に遵守するためにもアクセスコントロールを取り扱わなければなりません。
しかし、そうした規制の厳しい市場でなくても、アクセスコントロールについては配慮するほうが賢明です。高度なプログラムを開発して、コンピューターを乗っ取り、それらの隠れた目に見えないプログラムに貴重なデータを検索させるハッカーもいるといわれています。
このようなアクセスマイニングは、規模の大小にかかわらず、企業に壊滅的な打撃を与える可能性があります。アクセスコントロールはそれを阻止することができるのです。
アクセスコントロールの仕組み
大企業は毎日、驚異的な数のハッキングの試みに直面する可能性があります。例えば、ユタ州のコンピューターシステムは、毎日3億回ものハッキング試行に耐えています。誰の助けを借りずにそれぞれの問題を管理することは不可能ですが、堅牢なシステムがその一助を担うことができます。
アクセスコントロールシステムは、ソフトウェア、それを管理する人間、そしてその使用を指示するルールで構成されています。以下は、システム内の一般的な手順です:
- 認証:あるユーザーがシステムにアクセスしようとします。その人物は正規のユーザーでしょうか、それとも偽のユーザーなのでしょうか?ユーザー名、パスワード、生体認証データ、ワンタイム認証コードはすべて、アイデンティティの確認に役立ちます。
- 認可:その人物にどのような行動を許可すべきでしょうか?認可には、アクセスに関して許可設定するルールが含まれます。
- アクセス:アイデンティティが検証され、ルールが設定されていれば、ユーザーは、アセットの表示、書き込み、保存、共有、その他の作業をすることが可能になります。逆に、認証や認可のチェックをパスしなければ、システムはアクセスを拒否します。
- 管理:チームは、自分たちのルールが正しく機能してるか、会社のデータアクセス状況を監視する必要があります。新入社員、退社する同僚、組織の再編成などは、すべてセキュリティを危険にさらす可能性があります。
- 監査:アクセスを厳重に管理しようとしても、細部に注意が行き届かない場合もあります。定期的に監査を行うことで、何が起きているかを常に把握し、それに応じて対応できるようになります。
リソースにアクセスを試みるユーザーには、アクセスコントロールは以下の手順で行われます。
- ログイン:パスワードを入力し、続けて別の認証方法を入力します。
- アクセス: ユーザーは一部のサーバーやファイルを見ることができます。他は表示されないままになる可能性があります。
- 実行:ユーザーは、保護されたファイルへの書き込みなど、認証ルールで許可されていないアクションを試みる可能性があります。システムはそのアクションを阻止します。
過去10年以内にオフィス環境で仕事をしたことがある人なら、上記の手順はどれも見慣れたものでしょう。数え切れないほどの従業員が、毎日同じ手順を踏んで仕事をしています。
一般的な認可タイプ
適切なアクセスコントロールポリシーは、厳格な認可ルールから始まります。これらは「アクセスコントロールタイプ」と呼ばれる場合があります。しかし、誤解しないでください。これらは、サーバー内で何ができて、何ができないかを規定するルールです。それらはすべて認可の話となります。
以下のような条件に基づいてアクセスを許可することができます。
- 属性:時間帯、デバイスの位置情報、または人の地理的な位置情報はすべて、システムにログインさせるべきか、それとも拒否すべきかを判断するのに役立ちます。
例えば、アイダホ州ボイシで午後5時までしか営業していないビジネスを営んでいるにもかかわらず、午後11時にインドからのログイン試行があった場合、そのユーザーを拒否するようにシステムを設定することができます。
- 裁量:データの所有者は、そのデータをどの程度の範囲の人が見たり、使用したり、作業したりできるかを決定します。
例えば、営業チームの誰かが見込み客に資料を送信する必要があるとします。プロジェクトマネージャーがその詳細内容に誤りがないかをチェックする必要があるため、セールス担当者はプロジェクトマネージャーにアクセスを許可します。もし経理の誰かが資料を見たいと言えば、データ所有者はアクセスを拒否するでしょう。
- 強制:通常は、情報の機密レベルに基づく厳格なルールセットでアクセスを規定します。これは、軍隊など非常に階層的な環境下での一般的なアプローチです。
例えば、ドキュメントは、今後のイニシアチブに関する非常に機密性の高いデータが含まれているため、一定職位以上専用に作成されます。一般社員がそのファイルにアクセスしようとすると、システムはそれを拒否します。
- ロール:ユーザーは、各自の職務で一般的に必要とされるファイルのみを閲覧し、作業することができます。
例えば、経理担当者は「Accounting (会計)」というサーバーを見ることができます。営業は、会計サーバーが存在することすら知りません。
- ルール:管理者は、各ユーザーに固有の情報に基づいてアクセス権を与えたり、取り消したりします。
例えば、ある受付担当者がマーケティングチームでも働いているとします。その人はマーケティングサーバーを見ることができますが、他の受付担当者は見ることができません。
ひとつの方法を選択し、全社的にそれを一貫して適用することもできます。あるいは、いくつかのアプローチをハイブリッドに組み合わせて、アセットを何重ものセキュリティで包み隠すこともできます。
アクセスコントロールポリシーと規制
アクセスするために複数のデバイスを持っています。実際、研究者によるとアメリカの家庭の3分の1は3台以上のスマートフォンを持っています。指定するルールは、デバイスごとに柔軟に対応できるようにしなければなりませんが、それほど簡単なことではありません。
また、ルールが新しくなると、現場の管理者に対して不満を持つ人が出てくる可能性があります。常に何でも見ることができた(盗み見を楽しんでいた)人が、その自由を奪われて憤慨するかもしれません。そして管理者はプレッシャーに負けず、ルールを守り続けなければなりません。そうしないと、重要な保護が骨抜きになり、効果が減少してしまいます。
アクセスコントロールソフトウェアとソリューション
貴重なデータを扱う企業には、強力なア規制を考慮しければならない環境によっては、データを安全かつセキュアに管理していることを証明しなければなりません。強力なアクセスコントロールポリシーは、まさにその一助となります。
以下の理由で、セキュリティポリシーの強化が求められる場合があります。
- PCI DSS:PCIデータセキュリティ基準は、クレジットカードおよびデビットカードによる支払いを受け入れる、または保存するすべての人に適用されます。データを保護する必要があり、この基準ではそれを証明することも義務付けられています。
- HIPAA:医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act)には、いくつかのデータセキュリティ規定が含まれています。つまり、患者個人の個人情報とみなされる可能性のあるあらゆる情報を保護していることを証明しなければなりません。
- SOC2:サービス提供者は、データを適切に処理し、保護していることを証明しなければなりません。
- ISO 27001:財務データ、知的財産、従業員データを扱う組織を含め、あらゆる組織がこれらのデータ保護規則に従うことを求められる可能性があります。
ここに挙げたリストはすべてを網羅しているわけではありません。ビジネスで収集した情報をどのように収集、保存、共有するかを規定するルールは、はるかに多い場合があります。
頻繁に監査を行うなど、強力なアクセスコントロールポリシーを導入することで、適切な書類を提出し、遵守していることを証明することができます。
罰金を避けることは、規則を遵守する理由のひとつに過ぎません。顧客は企業を見ており、顧客情報の保護を企業に期待しています。ガイドラインに従って情報漏洩を回避すれば、貴社が信頼できる企業であることがわかります。逆に、ハッキングされると、顧客の信頼を回復するのは非常に難しくなります。
一般的なアクセスコントロールの課題
大半の企業が機密情報を管理する必要があり、アクセスコントロールポリシーが役立つことは明らかです。しかし、欠点もあります。
例えば、多数の企業がクラウド(コンピューティング)サービスを利用しており、専門家はこの傾向は今後も続くとしています。会社がある物理的な場所とクラウドの両方で機能するルールを作るのは容易ではありません。例えば、地理的なルールを使ってアクセスを許可または拒否し、クラウドでは世界中からのアクセスを許可している場合、不一致を見つけるのは容易ではありません。
同様に、一般的に人はリソースにクセスコントロールポリシーが必要です。また、その作業を支援するソフトウェアも必要です。
アクセスコントロールソフトウェアは、複数の環境やデバイスで動作するように設計されており、必要に応じて拡張し、ユーザー数を増やせます。このような製品は、人員配置やメンテナンスの必要性を減らし、自動化によってハッキングをより困難にします。
アクセスコントロールソリューションをお探しでしたら、当社に気軽にお問い合わせください。Oktaでは、誰でも簡単に使える強力な製品を提供しています。詳しくはOktaまでお問い合わせください。
参考文献
Smominru Hijacks Half a Million PCs to Mine Cryptocurrency, Steals Access Data for Dark Web Sale.(2019年8月、ZD Net)
NSA Data Center Experiencing 300 Million Hacking Attempts Per Day.(The Council of Insurance Agents and Brokers)
Merchants(PCI Security Standards Council)
Summary of the HIPAA Security Rule.(2013年7月、U.S. Department of Health and Human Services)
SOC2(Auditing Standards Board of the American Institute of Certified Public Accountants)
ISO/IEC 27001(International Organization for Standardization)
Gartner Forecasts Worldwide Public Cloud End-User Spending to Grow 18 Percent in 2021(2020年11月、Gartner)
A Third of Americans Live in a Household With Three or More Smartphones(2017年5月、Pew Research Center)