属性ベースのアクセス制御の概要

あらゆる組織がアクセス制御を利用して、機密データを保護し、セキュリティポリシーを適用し、従業員がシステムやアプリケーションに対する適切なレベルのアクセス権を持つよう管理しています。これまでに最も広く使用されていたモデルは、事前定義のロールに基づいて権限を割り当てるRBAC（ロールベースのアクセス制御）でした。RBACは多くのシナリオで効果的ですが、ユーザー、デバイス、およびデータのコンテキストが絶えず変化する動的な環境では限界があります。

ABAC（属性ベースのアクセス制御）は、より柔軟でコンテキストを考慮したアクセス管理のアプローチを提供します。ABACは、ロールのみに基づいてアクセスを割り当てるのではなく、ユーザーアイデンティティ、デバイスの種類、場所、アクセス時間などの複数の属性を評価して、リアルタイムでアクセスを決定します。組織はABACを導入することで、正確かつ状況に適したアクセスを割り当てられるようになり、セキュリティの強化、コンプライアンスの向上、操作性の向上を実現できます。

属性ベースのアクセス制御とは

ABACは、属性の組み合わせに基づいて権限を決定する高度なアクセス制御方法です。これらの属性には、ユーザーのロール、デバイスの種類、地理的な場所、アクセス時間、リソースの機密性などがあります。ABACは、幅広い属性を利用することで、特定のセキュリティおよびコンプライアンス要件に合わせたきめ細かなアクセス制御を可能にします。 

この動的なコンテキスト認識型モデルでは、リアルタイムの状況に基づいてアクセスが決定されるため、セキュリティが強化されます。ABACは属性を動的に評価して、アクセスを許可するか拒否するかを決定します。このプロセスには通常、次の過程が含まれます。

• 属性評価
  ABACは、ユーザーの部門、セキュリティクリアランス、デバイスのセキュリティポスチャなどの複数の属性を評価して、アクセスの決定に必要な情報を提供します。

• ポリシーに基づく実施
  組織は、属性の組み合わせに基づいてアクセスルールを規定するポリシーを定義します。これらのポリシーでは、信頼できないソースからアクセスがリクエストされた場合にMFA（多要素認証）を要求するなど、コンテキスト依存の要因を考慮できます。 

• リアルタイムの意思決定
  アクセスリクエストはリアルタイムで評価され、デバイスが侵害された場合にアクセスを取り消すなど、状況の変化に合わせてセキュリティポリシーを適用できます。

ABACの主要構成要素

属性

ABACの属性は、アクセスをリクエストしているユーザー、ユーザーのアクセス先、およびリクエストに関する状況を定義します。ABACは、このような現実の状況を考慮して、よりスマートかつ的確で、はるかにその場の状況に適したアクセスの決定を行えるようにします。これらの要素には、次が含まれます。

• ユーザー属性は、役職、部門、セキュリティクリアランス、勤続年数などの詳細を提供します。例えば、財務部門の従業員はマーケティング部門の従業員とは異なるアクセス権を持つ場合があります。
• リソース属性には、ファイルの種類、分類（機密か公開かなど）、所有権など、アクセスされるデータまたはシステムのプロパティが含まれます。財務報告書のような機密ファイルには一般的な社内メモよりも厳格なアクセス制御が必要であるため、これは重要な情報です。
• 環境属性には、アクセス時間、物理的な場所、IPアドレス、使用されているデバイスのセキュリティポスチャなどのコンテキスト要因が含まれます。例えば、従業員が信頼できないネットワークや管理対象外デバイスからログインした場合、アクセスを制限できます。

ポリシー

ポリシーは、アクセス権限を決定するために属性を評価する方法を定義するルールです。これらのポリシーはブール論理を使用して動作し、次のような特定の条件に基づいてアクセスリクエストを許可または拒否します。

• ユーザーの部門が人事であり、AND（かつ）、アクセスリクエストが営業時間中に行われた場合、THEN（そのときは）アクセスを許可します。
• デバイスが管理対象外であるか、OR（または）信頼できないネットワークから接続されている場合、THEN（そのときは）アクセスを拒否するか、MFA（多要素認証）を要求します。 

組織はポリシーを利用して、セキュリティ要件を動的に適用し、アクセスの決定にリアルタイムのリスク要因が反映されるようにすることができます。

意思決定エンジン

意思決定エンジンは関連するすべての属性を評価し、ポリシーをリアルタイムで適用します。ユーザーがアクセスをリクエストすると、エンジンは事前定義済みのポリシーに基づいて属性を処理し、アクセスを承認するか、拒否するか、または多要素認証要求を開始するなどの追加の検証を要求するかを決定します。これにより、次のようなアクセスの決定が可能になります。

• 静的なロールを利用するのではなく、コンテキストを認識し、状況の変化に合わせた決定。
• 決定を自動化して、手動によるアクセス承認の必要性を軽減し、セキュリティギャップを最小限に抑える。
• 多様なアクセス要件を持つ大規模で複雑な環境に対応するためのスケーラビリティ。

ABACは、このような主要な構成要素を活用することで、セキュリティを強化しながら操作性を向上させる、強力かつ柔軟で、効果的なアクセス制御のアプローチを提供します。

ABACの利点

セキュリティの強化

ABACは、きめ細かなコンテキスト認識型のアクセス制御を実施することで、静的ポリシーよりも優れたアクセス管理を実現します。ユーザーアイデンティティ、デバイスのセキュリティポスチャ、アクセス場所などの複数の属性を評価することで、ABACは適切なユーザーだけが機密性の高いデータ、システム、リソースにアクセスできるようにします。

コンプライアンスと規制

GDPR、HIPAA、NIST 800-53などの規制要件では、機密情報を保護するために厳格なアクセス制御が必要です。組織はABACを利用して、事前定義された条件に基づいてアクセスを制限するポリシーを適用することで、これらの標準を満たすことができます。

スケーラビリティ

急成長する企業では、特にクラウドやハイブリッド環境において、アクセス管理が課題となることがあります。ABACは、属性を動的に評価することで簡単に拡張できます。新入社員のオンボーディング、サードパーティベンダーとの統合、クラウドベースのリソースの管理など、どのような状況であっても、ABACを利用すれば簡単かつ効率的にアクセス制御を実施できます。

柔軟性と適応性

RBACとは異なり、ABACは大規模な再構成を行わずに変化するビジネスニーズに対応できます。リモートワーカー向けにアクセスポリシーを調整する、新しい規制要件に対応する、リスク要因に基づいてさまざまなセキュリティレベルを適用するなど、どのような状況にも、リアルタイムで対応できます。このような柔軟性により、セキュリティを確実に保ちながら、管理上の負担を軽減できます。

ABACとRBAC：主な違い

ABACのユースケース

クラウドセキュリティ

クラウド環境では、ABACは、組織がリアルタイムの状況に基づいてクラウドワークロードへの不正アクセスを防ぐのに役立ちます。例えば、最新のセキュリティパッチが適用された企業管理デバイスを使用している管理者または開発者以外のユーザーに対し、アクセスを制限できます。これにより、信頼できるユーザーとデバイスのみが機密性の高いクラウドリソースを使用できるようにすることができます。

ヘルスケア

ABACは、患者データのプライバシー保護がセキュリティとコンプライアンス両方の要件である医療においては必要不可欠です。患者を担当する医師や看護師などの許可された医療スタッフにのみEHR（電子カルテ）へのアクセスを許可し、管理スタッフには医療以外の詳細の閲覧のみを許可するようにポリシーを設定できます。この必要なユーザーにのみアクセスを許可する原則を適用することで、医療機関はHIPAAなどの規制を遵守しながら患者の機密情報を保護できます。

金融サービス

銀行や金融機関はABACを利用して、詐欺防止と企業コンプライアンスを強化できます。例えば、高額の電信送金では、依頼者の通常の場所とは異なる場所から依頼があった場合、追加の検証を要求することができます。金融機関は、ABACを利用してユーザー属性、取引の詳細、環境要因をリアルタイムで評価することで、不正行為を防止しながら、正当なユーザーには円滑なサービスを提供することができます。

組織でのABACの実装

ビジネス要件とセキュリティ要件を定義する

組織がABACの実装を成功させるには、まず、アクセスを決定する根拠となる主要な属性を特定する必要があります。つまり、どのユーザー、リソース、環境属性がセキュリティポリシーとビジネス目標に合っているのかを評価します。例えば、金融機関は、従業員の職務、取引金額、デバイスのセキュリティステータスなどの属性を定義して、機密性の高い金融データへのアクセスを制御します。医療機関は、HIPAAなどの規制を確実に遵守するために、医療スタッフの認証情報、患者レコードの機密性、アクセス場所に注目します。これらの属性を明確に定義することで、セキュリティチームは、正当なユーザーは効率的に作業できるようにしながらセキュリティを強化する、コンテキスト認識型のアクセスポリシーを作成します。

ABACソリューションを選択する

組織は、学習と管理が容易でありながら、高品質の機能を提供する堅牢なABACソリューションを選択する必要があります。ソリューションを評価するにあたり、セキュリティチームは次の事柄を考慮する必要があります。

• ポリシーエンジンの機能：複雑なアクセスルールを動的に処理できますか？
• 連携：既存のアプリケーション、クラウド環境、セキュリティツールと連携できますか？
• スケーラビリティとパフォーマンス：遅延を生じさせることなく、リアルタイムでアクセスの決定を行えますか？
• ポリシー管理の容易さ：ポリシーの定義と更新のための直感的なインターフェースが提供されますか？
• 監査およびレポート機能：コンプライアンスとセキュリティ分析用のログとレポートを生成できますか？

適切に選択されたABACソリューションは、業務運営に支障をきたすことなく、セキュリティを強化します。このようにソリューションを選択することで、企業が変化や成長を遂げた場合でも、アクセスポリシーの効果と管理の容易さを保つことができます。

既存のIAM（アイデンティティおよびアクセス管理）システムとの統合

ABACが効果を発揮するには、次のような既存のIAMフレームワークとシームレスに統合する必要があります。 

• 認証を合理化するSSO（シングルサインオン）
• セキュリティを強化するMFA（多要素認証）
• 既存のアイデンティティ属性を活用するディレクトリサービス（Active Directory、LDAPなど）

統合により、ABACが単独で動作するのではなく、セキュリティアーキテクチャを拡大することができます。

ポリシーのモニタリングと調整

ABACは「一度設定したら後は調整不要」のセキュリティソリューションではありません。進化するセキュリティ脅威とビジネスニーズに対応し続けるためには、定期的なポリシーの監査と調整が必要です。ベストプラクティスは次のとおりです。

• アクセスログを確認して潜在的なギャップや異常を特定する
• 新しいコンプライアンス要件やビジネス上の変更に基づいてポリシーを更新する
• ワークフローを中断することなく、ポリシーが意図したとおりに機能することを確認するためのテストと検証を行う 

ABACポリシーを継続的に改善することで、組織は長期にわたって強力なセキュリティ、コンプライアンス、運用効率を維持できます。

まとめ

ABACは、セキュリティ、柔軟性、コンプライアンスを強化する、強力でスケーラブルなアクセス制御ソリューションを提供します。ABACは静的なロールに依存せず、リアルタイムの属性を評価することで動的なIT環境に適応するため、オンプレミスとクラウドインフラストラクチャの両方を管理する組織に最適です。サイバー脅威がますます巧妙化する中で、企業は生産性を低下させることなく、リスクを最小限に抑えるコンテキスト認識型のアクセス制御を必要としています。

CrowdStrike Falcon® Next-Gen Identity Securityは、アイデンティティセキュリティの強化を目指す企業に、組織のデジタルアセット全体のアクセスをプロアクティブに保護するのに役立つ強力なアイデンティティ脅威検知および防御機能を提供します。