情報セキュリティの世界では、アクセスしようとする者が本人であるかどうかを確認することを「認証」(Authentication)と呼んでいる。多くの場合システム管理者は、ネットワークに関わっているユーザー全員にリソースへのアクセスを等しく与えるために、1日に1度、認証を行っている。

しかしさらに、アカウント管理にはほかに3つの「A」、すなわち承認（Authorization）、アクセス制限（Access control）、ロギング監査（Audit logging）があり、これら全てを適用させることで初めてセキュリティは強固となる。

ここでは、このうち「承認」と「アクセス制限」に焦点を当てて、それらがいったいどういうものなのか、セキュリティ改善のためにどんなふうに使えばいいのか、概説する。

「承認」と「アクセス制限」とは何か

「承認」と「アクセス制限」は、簡単に言うと、アクセス・ポリシーを実地に適用する仕方である。「承認」とは、言ってみれば「クラブの黒服が店の雰囲気に合う人間だけを中に入れる」ようなもので、他方「アクセス制限」とはその裏面、つまり「店の雰囲気に合わない人間を中に入れない」ことだと考えれば、ある程度のイメージがつかめるのではないだろうか。

この2つのプロセスは、取引銀行でも、スポーツのスタジアムでも、コンサートホールでも、飛行機に乗ろうとするときにも、至る所で利用されている。空港の安全エリアへの入場や銀行口座からの現金引き出しを行う際には、自分にその権利が認められているかどうかを示さなければならない。そうしたエリアや活動へのアクセス許可を持たない者は、排除されることになる。

承認とアクセス制限の有効な連携

承認とアクセス制限とを有効に連携させるためには、認証とポリシーが適切に連携することが必要だ。

例を挙げよう。ここに、スミス夫妻がおり、2人の名前をジョンとジェーンとする。彼らが自分たちの必要とするものにアクセスしようとする場合、このスミス夫妻がほかでもない、当のジョンとジェーンのスミス夫妻であって、彼らの名を悪用した偽者ではないことをはっきりと伝えたい……、こういうときに強力な認証が必要とされるのである。

適切なアクセス・ポリシーは「最小権限の原則」をしっかりと遵守することで成立する。すなわち、何者であっても、必要とされ、かつ、許可されない限り、基本的には何にもアクセスできない、という原則である。この原則に加えて、認証とポリシー確立の2つを組み合わせることによって、緩すぎるのでも厳しすぎるのでもない、順当なアクセス・レベルが初めて設定できるのである。

どのような承認とアクセス制限が役に立つのか

こうした次元の問題について検討することは、気の遠くなるような仕事に見えるかもしれない。「こんな作業にいつ誰が手を付けるのだろうか」と。その端的な答えは、予算が限られる中で資金力よりも思考力を使ってリスク回避の方法を探しているときに特に役立つものだ、ということになる。ビジネスの規模や状態がどうであれ、大半はこういう状況に置かれているのではないだろうか。

例えばネットワークから切り離されていたり、全く関連のない部門のマシンのような、本来ならアクセスできるはずがないマシンを通して、大切なシステムへの侵入に成功した攻撃者たち……彼らによってトラブルに巻き込まれた企業の話を、小耳に挟んだりニュースで見たりしたことは、誰にでもあるだろう。だが、計画策定に少しだけ時間をかけるだけで、この種の状況に陥るリスクを減らすことができるのである。

グループ分けのメリット

大きかろうが小さかろうが、どのようなビジネスであっても、 誰にでもアクセス可能というわけではないエリアやファイルがある。ビジネスの規模に応じて名称はいろいろだが、当該部署の外では誰でもアクセス可能というわけではないために、とりわけ神経を使うリソースを保持している部門がある。例えば、人事、給与管理、企画開発、ITといった部門だ。場合によっては、ベンダーやゲストのような外部の人間をそのようなリソースの幾つかにアクセスさせたい、というケースもあるかもしれない。

そこで、必要なものや守りたいものの重要度に応じて、個人やグループ、個々のマシンやネットワークの諸セクション全体を、招き入れたり締め出したりすることになる。その場合、自分たちのポリシーを立てる前に、以下のようなグループ分けのリストを作って全体を見渡すといいだろう。

• 個々の部門
• 部門内の各グループ
• 部門横断的な役割(企画や製品管理、総務)
• 特定の職務を任された者
• グループリーダーおよびマネジャー
• 統括マネジャーおよび重役
• ITないしはセキュリティ担当者

こうしたグループ分けができたら、おのおのがどういった行動をとり、どこで許可を必要とするのかを定義付けてみる。同様にして、これらのグループもしくは個人がどのような行動に対して、どのエリアでアクセスを妨げられるべきかを決める。

あるグループはファイルもしくはデータの閲覧と編集の両方に常時アクセスが必要であるのに対して、他のグループに必要なのはコンテンツやディレクトリの閲覧だけで、書き換えは不可で構わない。また例えば、異なった社員や部門がどれだけの期間、またどれくらいの頻度で仕事に無関係なネット開発などにアクセスできるか、あるいは彼らにどれだけのデータ保存スペースが割り当てられるかというような、リソースへの制限を設けることもできるだろう。

ポリシーをどこに適用するか

グループ分けとそれに応じた許可のリストを作ってしまえば、今度はこれらのポリシーを実際に適用するところを決定してみよう。最も自然なのは、ユーザーが以下のところにログインするときである。

• 機器の起動ないし電源をオンにするとき
• アプリケーション
• オンライン・サービス
• データベース

こうしたポリシーは、常に変わり得ることを前提としなければならない。すなわち、社員が新たに雇われたり会社を辞めたりするたびに、また彼らが社内で仕事や役割を変えるたびに、小まめにアップデートできなければならない。

これらのポリシーを全てしっかりと定めて適切に実施してしまえば、それでもう話は終わりだと思われるかもしれない。しかし、アクシデントや思いも寄らない出来事は常に起こり得るものである。セキュリティの強化にはまだ次なる手立てが待っている。過去の出来事に気付かせることで将来問題が起こるのを防いでくれる「ロギング監査」については、また別の機会にあらためて紹介したい。