🎓 レベル:標準 | 重要度:A(必須) 📎 前提:認証の基礎(パスワード保存とMFA) ⚠️ ゼロトラストの実装指針は更新される(要最新確認)。本稿は NIST SP 800-207 を下敷きに概念を整理。
要点(BLUF)
- 認可は「認証済みの相手に何を許すか」。これを構造化するのがアクセス制御モデル(RBAC・ABAC など)。
- 目的は最小権限(セキュリティ設計原則)の実装。役割や属性で権限を整理し、過剰付与を防ぐ。
- ゼロトラストは「ネットワークの内側だから信用する」をやめ、アクセスのたびに本人・端末・文脈を検証する設計思想。
概念:認証の次は認可
認証(認証の基礎(パスワード保存とMFA))で「誰か」が分かったら、次は「その人に何をさせるか」を決めます。これが認可です。認可を行き当たりばったりにすると、過剰権限・権限の付けっぱなし・棚卸し不能に陥ります。そこで権限をモデルで構造化します。
仕組み:代表的なアクセス制御モデル
| モデル | 判定の根拠 | 向く場面 |
|---|---|---|
| DAC(任意) | 所有者が個別に許可 | 小規模・ファイル共有 |
| MAC(強制) | システムのラベル(機密度)で強制 | 軍・高機密 |
| RBAC(役割ベース) | ユーザーに割り当てた役割 | 組織の大多数。管理が楽 |
| ABAC(属性ベース) | ユーザー・資源・環境の属性の組合せ | きめ細かい条件付き制御 |
実務の主役は RBAC です。「管理者・編集者・閲覧者」のように役割へ権限を束ね、ユーザーには役割を割り当てます。個別付与より見通しがよく、棚卸ししやすい。より細かく「部署=経理 かつ 時刻=業務時間 かつ 端末=管理対象」のような条件が要るときは ABAC を併用します。
概念:ゼロトラスト(決して信頼せず、常に検証)
従来は「社内ネットワークの内側は信頼、外側は危険」という境界型の発想でした。しかしクラウド・リモートワーク・内部不正の前では、境界の内側を一律に信頼するのは危険です。ゼロトラストは前提を変えます。
ネットワーク上の位置(社内/社外)だけで信頼を与えない。アクセスのたびに、本人・端末の健全性・要求の文脈を検証し、必要最小限だけ許す。
NIST SP 800-207 の中心概念は「暗黙の信頼をゼロにし、継続的に評価・認可する」ことです。境界の内外を問わず、すべてのアクセスを検証対象にします。
flowchart TD
REQ["アクセス要求(社内・社外を問わず)"] --> PEP["ポリシー実施点(PEP)"]
PEP --> PDP{"ポリシー決定点(PDP)本人・端末・文脈を評価"}
PDP -->|"条件を満たす・最小権限"| GRANT["限定的に許可"]
PDP -->|"条件不足・リスク高"| DENY["拒否または追加検証"]
SIG["信号:ID・端末状態・場所・振る舞い"] -.-> PDP
防御側の使い方/設定
- 役割を設計してから配る:RBAC で権限を役割に束ね、ユーザーには役割のみ割り当てる。直接付与を減らす。
- 最小権限を既定に:まず全拒否、必要分だけ許可(フェイルセーフ=セキュリティ設計原則)。
- 定期的に棚卸し:使われていない権限・退職者の残権限を剥がす。職務分掌(重要操作は単独で完結させない)。
- ゼロトラストの要素を取り入れる:強い本人認証(MFA)+端末の健全性チェック+アクセスごとの認可。
- クラウドでのロール設計・ポリシー記述などの実務は クラウドの責任共有とIAM と連携(境界づけ:ここは概念、実装はクラウド分野)。
なぜ安全か:被害の上限を権限で固定する
アクセス制御が効くのは、一つのアカウントが侵害されても、そのアカウントの権限以上の被害が出ないからです。最小権限なら侵害の影響範囲(ブラスト半径)が小さく保たれます。ゼロトラストはさらに「内側に入れば自由」という横移動の前提を壊し、たとえ社内ネットワークに足場を作られても、各リソースへのアクセスで再検証されるため、被害の連鎖を断ちます。
仕組みの直観
RBAC は社員証の権限レベルです。一人ひとりに個別の鍵を配るのではなく、「経理部」「管理者」という役割に対応した扉が開く。異動したら役割を付け替えるだけ。ゼロトラストは社内でも各部屋でカードをかざすオフィスです。ビルに入れたからといって全室に入れるわけではなく、部屋ごとに権限と本人をその都度確認します。
⚠️ よくある誤解・設定ミス
- 権限を直接ユーザーに付けまくる:役割で束ねないと棚卸し不能になり、過剰権限が温存される。
- 「社内ネットワークだから安全」:境界型の思い込み。内部不正・横移動に弱い。ゼロトラストで再検証。
- 最小権限を「後で絞る」前提で広く付ける:絞られないまま放置される。最初から最小で。
- 退職者・異動者の権限が残る:定期棚卸しが無いと積み上がる。
- ゼロトラスト=製品を買えば完成、と誤解:思想であって単一製品ではない。本人・端末・文脈の継続検証という運用が要る(要最新確認)。
対応 lab
ポリシー設計が中心のため専用 lab は置きません。最小権限の効果(被害範囲の限定)は、暗号の鍵分離(デジタル署名と証明書(PKI))と同じ「権限を分けて被害を閉じ込める」発想です。
関連
- 上位の設計原則(最小権限) → セキュリティ設計原則
- 本人確認の強化(MFA) → 認証の基礎(パスワード保存とMFA)
- クラウドでの IAM 実装 → クラウドの責任共有とIAM