アクセスコントロールリストとは？

アクセス制御リスト (ACL) とは、特定のネットワークリソースに対して、どのユーザーやシステムがアクセスを付与されているか、さらにそれらのリソースを使用する際にどのような操作が可能かを決定するルールの一覧です。

アクセス制御リストはアイデンティティとアクセス管理 (IAM) ポリシーフレームワークの中核となる原則であり、承認されたユーザーが権限を持つリソースにのみアクセスできるようにします。

アクセス制御リストの仕組み

アクセス制御リストで、ユーザーの認証情報が検証されます。この処理は、組織が実装したアクセス制御リストの種類に応じてユーザーの権限などの要素を評価することにより行います。この評価と検証が終わった後、リソースへのアクセスを付与したり拒否したりします。

アクセス制御リストの種類

アクセス制御リストは、2つのカテゴリに分類できます。

標準アクセス制御リスト

標準的なアクセス制御リストは、アクセス制御リストでは最も一般的なタイプです。送信元のIPアドレスのみに基づいてトラフィックをフィルタリングします。標準アクセス制御リストでは、ユーザーのパケットの他の要素は考慮されません。

拡張アクセス制御リスト

拡張アクセス制御リストではさらに厳密な制御が可能で、ユーザーのポート番号、プロトコルの種類、送信元と宛先のIPアドレスなど、さまざまな基準に基づいたフィルタリングが可能になります。

アクセス制御の種類

アクセス制御にはいくつかの種類があり、組織のニーズに合わせて選びます。ここでは、最も一般的なアクセス制御のタイプを4つ紹介します。

ロールに基づいたアクセス制御 (RBAC)

ロールに基づくアクセス制御 (RBAC) は、リソースへのアクセス管理に広く利用されている方法です。組織内のユーザーの役割 (ロール) に基づいて、システム内のユーザーの権限と制限を管理します。特定の特権や権限がユーザーの役割と関連づけられて設定されます。このセキュリティモデルでは、最小特権の原則 (PoLP) に則り、業務に必要なシステムにしかネットワークアクセスが付与されません。例えば、オペレーションアナリストは営業担当幹部とは異なる業務を遂行するため、異なるリソースを利用することになります。

任意アクセス制御 (DAC)

任意アクセス制御 (DAC) では、リソース所有者が特定のユーザーへのアクセスを付与または拒否する責任を負います。所有者の裁量に基づいて最終的な決定が下されることになります。このモデルではリソース所有者が迅速かつ容易にアクセス権限を調整できるため、より大きな柔軟性が得られますが、リソース所有者が判断を誤ったり、決定に一貫性がない場合には脅威になり得ます。

強制アクセス制御 (MAC)

強制アクセス制御 (MAC) は、システムポリシーに基づいてリソースへのアクセスが決定される方法であり、通常はシステム全体の統制機関や管理者によって設定されます。強制アクセス制御は、クリアランスレベルに基づいてさまざまなグループのユーザーにさまざまなレベルのアクセス権が付与される階層システムとして可視化することができます。強制アクセス制御は、セキュリティ上の理由から厳しい規制が不可欠である政府用システムや軍事用システムで広く利用されています。

属性に基づくアクセス制御 (ABAC)

属性に基づくアクセス制御 (ABAC) は、ユーザーに関連する属性に基づいてアクセスを制御する方法です。このセキュリティモデルでは、役割だけではなく、対象者、環境、職位、場所、アクセス時間といった他の要素も考慮に入れます。属性に基づくアクセス制御では、属性に基づいて特定のポリシーが定義され、そのポリシーに厳密に従います。

アクセス制御リストの構成要素

アクセス制御リストにはいくつかの構成要素があり、それぞれの要素がユーザーの権限を決定する上で重要な情報となります。

シーケンス番号: シーケンス番号とは、ACLエントリを識別するのに使用されるコードです。
ACL名: ACL名はACLエントリを識別するためにも使用されますが、数字の並びではなく名前を使用します。場合によっては、文字と数字の混合形式が使用されます。
ネットワークプロトコル: 管理者は、インターネットプロトコル (IP)、伝送制御プロトコル (TCP)、ユーザーデータグラムプロトコル (UDP) などのユーザーのネットワークプロトコルに基づいて、エントリを付与または拒否することができます。
ソース: ソースは要求元のIPアドレスのことです。

アクセス制御リストを使用するメリット

アクセス制御リストを使用するメリットとして、きめ細かなコントロールが挙げられます。組織では特定のグループに合わせたアクセス権限を設定し、確立できます。これにより、組織のシステムの機密性を保護しながらリソースを柔軟かつ簡潔に管理できるようになります。

さらに、アクセス制御リストは、セキュリティ侵害や不正アクセスなど、悪意のあるアクティビティのリスクを軽減するのに効果的です。 ACLにより不正なトラフィックの侵入をブロックするだけでなく、スプーフィングやサービス拒否 (DoS) 攻撃もブロックできます。 ACLは、ソースのIPアドレスをフィルタリングする仕様であるため、信頼できるソースに対してはアクセスを許可する一方、信頼できないソースはブロックします。また、ACLで悪意のあるトラフィックをフィルタリングし受信データパケット量を制限することで、トラフィック量が大きくなりすぎないようにし、サービス拒否攻撃を軽減します。

アクセス制御リストの導入方法

アクセス制御リストを導入するには、まず組織内の課題を特定し、改善が必要な領域を特定することが重要となります。特定した後、潜在的なリスクに対処しながら、セキュリティとコンプライアンスのニーズを満たすIAMソリューションを選択します。

IAMソリューションを選択した後、セキュリティ基準を維持しながらユーザーが適切な権限レベルで必要なリソースにアクセスできるようにアクセス権限を設定します。