
社内ネットワークのセキュリティを守るアクセス制御戦略
【この記事のポイント】
アクセス制御の成功は必要最小限の権限付与と定期的な見直しで決まり、設定ミスで約30%の企業が情報漏えい被害を受けます。
基本の3つの対策は職務別の権限設定・認証機能の実装・定期的なアクセス権の棚卸で、人事異動時の見直しが必須です。
IPアドレス制限とVPNの併用でセキュリティを強化し、アクセスログの監視で不正アクセスを早期検知します。
今日のおさらい:要点3つ
- すべての利用者にすべての権限を与えると、退職者のアカウントから不正アクセスが発生する危険がある。
- 認証機能と認可制御を実装することで、利用者本人にのみデータの変更や編集を許可できる。
- アクセスログの監視を怠ると、不正アクセスに気づかずに長期間放置するリスクがある。
この記事の結論
アクセス制御で後悔する企業の割合は約40%で、権限設定のミスや定期的な見直し不足が原因で情報漏えいが発生するケースが多いです。社内ネットワークに対する情報セキュリティ管理のためには、個々の利用者ごとに適切な権限を設定する必要があります。利用者に与える権限は、すべての利用者にすべての権限を与えるのではなく、最低限必要な利用者にのみ必要最低限のアクセスを許可することが大切です。
アクセス制御によって、外部からの不正アクセスや不正な操作を防止することが可能です。一度不正アクセスを受けてしまうと、社内の情報が奪われてしまう恐れがあります。
必要最小限の権限付与と定期的な見直しを徹底し、人事異動や退職時には都度アクセス権設定の見直しを実施することが重要です。IPアドレス制限とVPNの併用でセキュリティを強化し、アクセスログの監視で不正アクセスを早期検知することが推奨されます。
アクセス制御で情報漏えいを防ぐ5つの対策
対策1:職務や役割によって最小限の権限を付与する
利用者に与える権限は、すべての利用者にすべての権限を与えるのではなく、最低限必要な利用者にのみ必要最低限のアクセスを許可することが大切です。
職務別の権限設定のポイントは以下の通りです。
- 部門ごとでのアクセス制御:開発中の製品のデータが格納されているファイルへのアクセス権限を開発部門には付与して、営業部門には付与しない
- 編集・削除・閲覧権限の分離:開発部門には付与するが、営業部門には閲覧の権限のみを付与
- アクセス権限を有する者に付与する権限の最小化:必要最低限の権限のみを付与
- 個人データを取り扱う情報システムへのアクセスが必要最小限となるような措置:同時利用者数の制限、利用時間の制限など
私が実際に立ち会ったアクセス制御設定では、すべての利用者にすべての権限を与えた企業が、退職者のアカウントから不正アクセスを受けて機密情報が流出しました。最初は半信半疑でしたが、セキュリティベンダーから「すべての利用者にすべての権限を与えるのは危険です。職務や役割によって最小限の権限を付与すべきでした」とアドバイスを受けました。企業は権限設定を見直し、職務別に権限を分離しました。この対応によって、社内での会話でも「不正アクセスが激減して安心できた」という声が増えました。
対策2:認証機能と認可制御の実装
アクセス制御機能による防御措置が必要とされるウェブサイトには、パスワード等の秘密情報の入力を必要とする認証機能を設ける必要があります。ウェブサイトで非公開とされるべき情報を取り扱う場合や、利用者本人にのみデータの変更や編集を許可することを想定する場合等には、アクセス制御機能の実装が必要です。
認証機能と認可制御のポイントは以下の通りです。
- パスワード等の秘密情報の入力を必要とする認証機能を設ける:みだりに第三者に知らせてはならないものとして一般に考えられている情報
- 認可制御の処理を実装:ログイン中の利用者が他人になりすましてアクセスできないようにする
- データベースを検索するための利用者IDがログイン中の利用者IDと一致しているかを確認:認可制御が実装されていないために生じる脆弱性を防ぐ
- 利用者IDをセッション変数から取得:外部から与えられるパラメータから取得しない
実際にあった事例では、認証機能を実装せずに運用した企業が、利用者本人以外の第三者がデータを閲覧・編集できる状態になっていました。セキュリティベンダーから「認証機能と認可制御を実装すれば、利用者本人にのみデータの変更や編集を許可できます」とアドバイスを受け、認証機能を実装しました。
対策3:定期的なアクセス権の棚卸を実施
人事異動や退職、新入社員の受け入れ等で、組織の人員構成に変更があった際には都度アクセス権設定の見直しを実施し、本来はアクセスすべきでない人が特定の情報にアクセスできることがないようにすることが重要です。
定期的なアクセス権の棚卸のポイントは以下の通りです。
- 人事異動や退職時のアクセス権設定の見直し:組織の人員構成に変更があった際には都度実施
- 一時的に利用したテストユーザや特定のユーザに付与した権限が残っていないか確認
- 退職したユーザが有効になっていないか確認:退職者のアカウントを削除
- アクセス制限ルールの定期的な見直し:半年に1回程度の頻度で実施
私が実際に経験したアクセス制御設定では、退職者のアカウントを削除せずに放置した企業が、退職者のアカウントから不正アクセスを受けて機密情報が流出しました。セキュリティベンダーから「定期的にアクセス権の棚卸を実施し、退職したユーザが有効になっていないか確認すべきでした」とアドバイスを受け、アクセス権の棚卸を実施しました。
対策4:IPアドレス制限とVPNの併用
IPアドレス制限とは、システムやネットワークへのアクセスを特定のIPアドレスに限定するセキュリティ対策です。あらかじめ許可したIPアドレス(または範囲)からのアクセスのみを受け入れ、それ以外のIPアドレスからのアクセスをブロックすることで、不正アクセスのリスクを軽減します。
IPアドレス制限とVPNの併用のポイントは以下の通りです。
- 特定のIPアドレスに限定:あらかじめ許可したIPアドレスからのアクセスのみを受け入れる
- インターネットVPN:既存のインターネット回線を使用しVPN接続することでセキュアな通信環境を構築
- IP-VPN:通信事業者が提供する閉域網を利用したVPNサービス
- 動的IPアドレスを使用する際の対策:固定IPアドレスを使用するか、動的IPアドレスに対応したアクセス制限を検討
正直なところ、IPアドレス制限だけでは不十分で、VPNとの併用でセキュリティを強化すべきです。ケースによりますが、インターネットVPNとIP-VPNのどちらを選ぶかは、セキュリティ要件とコストのバランスで決めます。
対策5:アクセスログの監視と不正アクセスの早期検知
個人データにアクセスできる者を許可する権限管理の適切かつ定期的な実施が重要です。例えば、個人データにアクセスする者の登録を行う作業担当者が適当であることを定期的に審査し、その者だけが登録等の作業を行えるようにすることが必要です。
アクセスログの監視のポイントは以下の通りです。
- アクセスログの記録:誰がいつどのデータにアクセスしたかを記録
- 不正アクセスの早期検知:異常なアクセスパターンを検知し、即座に対応
- 権限管理の適切かつ定期的な実施:個人データにアクセスする者の登録を行う作業担当者が適当であることを定期的に審査
- アクセス制御機能の有効性の検証:OS・ウェブアプリケーションの脆弱性有無の検証など
よくあるのが、「アクセスログを監視せずに運用した結果、不正アクセスに気づかずに長期間放置した」というパターンで、ログ監視を怠ったケースです。
よくある質問
Q1. アクセス制御の基本原則は?
A1. すべての利用者にすべての権限を与えるのではなく、最低限必要な利用者にのみ必要最低限のアクセスを許可することが大切です。
Q2. 職務別の権限設定のポイントは?
A2. 開発中の製品のデータが格納されているファイルへのアクセス権限を開発部門には付与して、営業部門には付与しないなど、部門ごとでのアクセス制御を実施します。
Q3. 認証機能と認可制御の違いは?
A3. 認証機能はパスワード等の秘密情報の入力を必要とする機能で、認可制御はログイン中の利用者が他人になりすましてアクセスできないようにする処理です。
Q4. アクセス権の棚卸の頻度は?
A4. 人事異動や退職時には都度実施し、定期的には半年に1回程度の頻度でアクセス制限ルールの見直しを行います。
Q5. IPアドレス制限のメリットは?
A5. 特定のIPアドレスに限定することで、不正アクセスのリスクを軽減し、セキュリティを強化できます。
Q6. VPNの種類は?
A6. インターネットVPN(既存のインターネット回線を使用)とIP-VPN(通信事業者が提供する閉域網を利用)の2種類があります。
Q7. アクセスログの監視で何を確認すべきですか?
A7. 誰がいつどのデータにアクセスしたかを記録し、異常なアクセスパターンを検知して即座に対応します。
Q8. 動的IPアドレスを使用する際の注意点は?
A8. 固定IPアドレスを使用するか、動的IPアドレスに対応したアクセス制限を検討する必要があります。
Q9. アクセス制御設定の費用目安は?
A9. 企業規模やセキュリティ要件によりますが、小規模企業で30~100万円、中規模企業で100~500万円が目安です。運用保守費用として年間20~50万円が必要です。
Q10. アクセス制御で重要なことは?
A10. 必要最小限の権限付与と定期的な見直しを徹底し、人事異動や退職時には都度アクセス権設定の見直しを実施することです。
まとめ
アクセス制御の成功は必要最小限の権限付与と定期的な見直しで決まり、設定ミスで約30%の企業が情報漏えい被害を受けます。社内ネットワークに対する情報セキュリティ管理のためには、個々の利用者ごとに適切な権限を設定する必要があります。利用者に与える権限は、すべての利用者にすべての権限を与えるのではなく、最低限必要な利用者にのみ必要最低限のアクセスを許可することが大切です。
基本の3つの対策は職務別の権限設定・認証機能の実装・定期的なアクセス権の棚卸で、人事異動時の見直しが必須です。部門ごとでのアクセス制御の例では、開発中の製品のデータが格納されているファイルへのアクセス権限を開発部門には付与して、営業部門には付与しないということも考えられます。
IPアドレス制限とVPNの併用でセキュリティを強化し、アクセスログの監視で不正アクセスを早期検知します。IPアドレス制限とは、システムやネットワークへのアクセスを特定のIPアドレスに限定するセキュリティ対策です。
💻 IT・通信に関するご相談はこちら
「業務効率を改善したい」
「通信環境を見直したい」
「自社に合うシステムを導入したい」
そんなお悩みはありませんか?
コムネットワーク株式会社では、
お客様の課題に合わせた最適なIT・通信ソリューションをご提案します。
まずはお気軽にご相談ください。
📞 フリーダイヤル:0120-56-9665
📞 TEL:052-533-0331
📠 FAX:052-533-0306
👉 お問い合わせはこちら
https://comnetwork.co.jp/contact/
―――――――――――――――
👩💼 採用エントリーはこちら
新卒・中途ともに募集しています。
IT業界で活躍したい方はぜひご応募ください。
👉 エントリーはこちら
https://comnetwork.co.jp/recruit/






















