sg sg-security-measures access_control it_security_operations
まず結論
アクセス制御(認可)は、認証された利用者に対して「何ができるか」を決める仕組みです。
SG試験では「認証との違い」を判断させる問題で頻出です。
直感的な説明
「会社の入館」をイメージすると分かりやすいです。
- 認証 → 本人確認(社員かどうか)
- 認可 → 入れる場所の制限(会議室だけ?全フロア?)
👉
本人かどうか(認証)と、何ができるか(認可)は別です。
定義・仕組み
アクセス制御(認可)は、
- 認証後のユーザに対して
- 利用できる資源(ファイル・機能など)や操作
を制限する仕組みです。
主な方式
① DAC(任意アクセス制御)
- 資源の所有者がアクセス権を決める
👉 柔軟だが管理が複雑
② MAC(強制アクセス制御)
- システムがルールに基づいて制御
👉 セキュリティレベル重視
③ RBAC(ロールベースアクセス制御)
- 役割(ロール)で権限を管理
👉 実務で最もよく使われる
例:
- 管理者 → 全操作可能
- 一般社員 → 閲覧のみ
SG試験では
「ロールで管理 → RBAC」がよく出ます。
どんな場面で使う?
使う場面
- 社内システムの権限管理
- ファイル共有のアクセス制限
- クラウドサービスの権限設定
👉 現場では
「必要な人だけに必要な権限を与える」ために使う
使うと誤解しやすい場面
- ログイン処理
→ それは認証(認可ではない)
よくある誤解・混同
SG試験の最重要ポイントです。
❌ 認証=アクセス制御
→ ⭕
- 認証:本人確認
- 認可:権限の決定
❌ ログイン成功=すべて操作可能
→ ⭕
ログイン後も権限によって制限される
❌ RBACはユーザごとに設定
→ ⭕
ロール単位で管理するのが特徴
❌ アクセス制御は不要
→ ⭕
認証だけでは不正操作を防げない
👉 SG試験では
「本人確認か?権限制御か?」で切り分けるのが最重要です。
まとめ(試験直前用)
- 認可は何ができるかを決める仕組み
- 認証とは別(順番は 認証 → 認可)
- RBACが実務で主流
- 最小権限の原則が重要
👉 判断基準
本人確認 → 認証
権限の決定 → 認可
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 監査ログとは?不正検知と追跡の基本【SG試験】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】