情報セキュリティマネジメント試験 科目A 重要キーワード解説
アクセス制御とは、情報資産に対し「誰が」「何に」「どのような操作を」できるかを制限・管理する仕組みです。許可された人だけが必要な情報にアクセスできるようにし、不正アクセスや情報漏えいを防ぎます。
アクセス制御は「認証(本人確認)→ 認可(権限付与)→ 監査(記録・確認)」の3要素で構成されます。最小権限の原則を実現する具体的な手段でもあります。
| 要素 | 内容 |
|---|---|
| 認証(Authentication) | 「誰か」を確認する(パスワード・多要素認証等)。 |
| 認可(Authorization) | 確認した相手に「何ができるか」の権限を与える。 |
| 監査(Audit/Accounting) | アクセスの記録(ログ)を取り、後から確認できるようにする。 |
アクセス権の設定不備により、本来見られないはずの機密情報を多くの社員が閲覧できる状態になっていた、という事故は少なくありません。RBACと定期的な権限棚卸しで、こうした過剰なアクセス権を防ぎます。クラウドストレージの公開設定ミスも、アクセス制御の不備の一種です。