アクセス制御とは、アクセスコントロールとも言われるように、ネットワークシステムやサーバ本体、サーバ内に格納されているデータに対して、どの利用者にどのようなアクセスを許可するか、あるいは許可しないか、を制御することである。
また、どの利用者が何の目的でデータにアクセスしたかを監視することもアクセス制御に含まれている。

情報および情報システムにアクセスできる利用者は、通常は一般ユーザと特権ユーザに分類されている。
特権ユーザには、アカウントやシステム構成などの管理、システム制御のための管理を行う権限が与えられる。

もし、特権ユーザの権限が盗用されてしまうと、情報セキュリティ対策に深刻な影響が及ぶ。そのため、特権ユーザの権限は限られた管理者のみに付与し、必要最低限の権限を与えるにとどめ、その権限は業務遂行時のみ使用可能とすることが必要である。

どの利用者にどのようなアクセスを許可するか？という点を具体的にどう対応するかというと、情報システム内で情報を格納しているファイルやフォルダに対し、業務内容や職務に応じた適切なアクセス権を設定することで管理していく。
アクセス権の例としては「参照不可」「参照のみ可能」「書き込み可能」「削除可能」「実行可能」「すべて可能」などがあり、これらを利用者個人やグループごとに割り当てていく。

その利用者が何の目的でデータにアクセスしたか？という点を具体的にどう対応するかというと、４つのポイントで情報システムへのアクセスや、その作業内容を記録していく。
①システムへのログインに成功した利用者のユーザＩＤと時間
②システムへのログインに失敗した利用者のユーザＩＤと時間
③システムからログオフした利用者のユーザＩＤと時間
④重要な情報にアクセスした利用者のユーザＩＤとアクセスの内容
これらは、利用者の行動に関する情報が記録されるため、利用者に事前の説明を行い、記録していることを周知することで、不正な操作に対する抑制効果も期待できる。

このようにアクセス制御とは、アクセスに対する管理と監視という重要な観点であることがわかる。

田中伸秀