●トピック
●深く知る
アクセス制御の基本について学びましょう。ログインする人がいて、見たい情報があるようにデータは扱う側と扱われる側に分かれます。主体とは人間やコンピュータといった、データを操作する側を示す概念です。対象とはデータそのものやドキュメントなど、データを操作される側を示す概念です。その主体と対象を中継し、モデルに従った適切な認可をするものがアクセス制御です。
アクセス制御が最小権限の原則と知る必要性(Need to Know)に則ることで、安全な IT環境が作られます。資産へのアクセスを制限することで貴重な資産を保護するのに役立ちます。ただ、とても似ている概念のために混合しがちです。それぞれの定義を見ていき、最後にそれぞれの違いについて確認していきましょう。
まずは最小権限の原則です。最小権限の原則とは、権限は必要最低限であるべきというアクセス制御の原則のことです。不必要な権限を取り除くことで、職務に応じた作業を安全に実施することを目的にしています。一方で知る必要性とは、割り当てられた作業タスクを実行するために必要なデータまたはリソースへのアクセスのみをユーザーに許可する事です。主な目的は、機密情報を秘密にし続けることです。データベース管理者は、メンテナンスを実行するためにデータベースサーバーにアクセスする必要がありますが、データベース内のすべてのデータにアクセスする必要はありません。知る必要性に基づいてアクセスを制限することで、機密性の損失につながる不正アクセスを防ぐことができます。
最小権限の原則は、主体に対して割り当てられた作業タスクを実行するために必要な権限のみを付与することであり職務や職位を元にアクセス権が定義されるもので、知る必要性のように日々のタスクを元に決められるものではありません。最小権限の原則では、情報そのものが侵害されるリスクに着目しています。知る必要性では、信頼のある人であっても情報を不必要に共有することへのリスクに着目しています。