エンジニア全般
NAC(ネットワークアクセスコントロール)は、誰もがPCやスマートフォンなどのITデバイスを持てる時代となった現代で業務プロセスを運用する上で必要不可欠な技術です。
自社ネットワークへのアクセス権限を持つデバイスを設定することで自社の業務プロセスのセキュリティを保つことができます。
個人所有や会社所有などアクセスできるデバイスの種類が多様化していることで、管理も難しく感じる場合はNAC(ネットワークアクセスコントロール)の導入を検討することがおすすめです。
NACの概念に関して詳しく知らない人は少なくないでしょう。本記事では、NACの仕組みや対応できる問題などを詳しく見ていきます。NAC導入をお考えの人は、ぜひ本記事を参考にしてみてください。
金融機関常駐SEとして、常駐先の社内システム開発に携わっている現職SE。 開発に関する上流から下流まで経験。最近ではSalesforceなどのSFAツールを用いたシステム開発に着手。
NAC(ネットワークアクセスコントロール)とは?
NAC(ネットワークアクセスコントロール)とは、自社のネットワークへのアクセスができるデバイスの情報を設定することでネットワークへのアクセスを制限し、セキュリティ水準を保つ技術のことです。
こちらでは、そんなNAC(ネットワークアクセスコントロール)の概要や基本機能・仕組みについて解説していきます。
NAC(ネットワークアクセスコントロール)とは
NAC(ネットワークアクセスコントロール)とは、ネットワークにアクセスを試みる利用者やデバイスを識別・認証して条件を満たしている場合にのみアクセスを許可するセキュリティ技術です。
ネットワークへのアクセスを、アクセス要件に準拠されたデバイスのみがアクセスできるようにすることで、個人所有のデバイスからのアクセスで発生するセキュリティリスクの軽減をすることができます。
昨今は、誰もがPCやスマートフォンなどのデバイスを持っているため、ネットワークへのアクセスが容易になっていることが現状です。
誰でもネットワークにアクセスしやすくなっているため、ネットワークへのアクセス制御を実施しないと、不正アクセスによるセキュリティインシデントの危険性が高くなります。
NACでは、アクセスできるデバイスの基準を詳細に設定できるため、現代のITシステムのセキュリティ管理に欠かせない機能といえるでしょう。
NAC(ネットワークアクセスコントロール)基本機能・仕組み
こちらでは、NACの基本的な機能と仕組みについてみていきましょう。
認証 (authentication):本人確認
NACでは、認証システムでデバイスを識別し、利用者の本人確認を行います。システムの本人確認を行う認証では、基本的に二要素認証が用いられていることが特徴です。
二要素認証とは、2つの要素を認証に用いることで第三者によるなりすまし防止を行う仕組みとなります。
二要素認証には主に3つの要素からえらばれており、それぞれ「知識認証」「所有者認証」「生体認証」です。それぞれ以下のような特徴や要素例をもちます。
| 認証方式 | 特徴 | 例 |
| 知識認証 | ユーザーだけが知っている情報などをもとに認証する方式。
知識のため漏洩リスクがある。 |
・IDとパスワード ・暗証番号 ・秘密の質問 |
| 所有者認証 | ユーザーだけが所持している物をもとに認証する方式。
デバイスやICカードなど物を種有する必要があり紛失リスクもある。 |
・電子証明書 ・USBトークン ・ICカード(キャッシュカードなど) ・スマートフォン |
| 生体認証 | ・ユーザーの体の一部を認証に用いる方式。
・けがや事故により認証できなくなるリスクもある。 |
・指紋 ・声紋 ・虹彩 ・顔 |
上記の異なる認証同士を組み合わせることが二要素認証の基本となります。
例えば、銀行のキャッシュカードと暗証番号は、所有者認証と知識認証の組み合わせです。
NACでは、この認証設定を細かく構築することで高いセキュリティ性を確保します。
認可 (authorization) :特定の情報にアクセス許可を与える
NACでは、ネットワークの中でも特定の情報へのアクセス認可をユーザー単位で実施できます。
アクセス認可をすることで、ユーザーごとに参照できるデータを出しわけることが可能です。
例えば、管理者権限を持っているユーザーだけに見せたい情報がある場合は、情報に対して管理者権限以上で参照・編集ができるように設定することで管理者以下の権限を持つユーザーが参照できないように操作できます。
企業が持つ情報には、一般ユーザーが見ていいものから見てはいけないものまでさまざまです。
アクセス認可で情報の参照・編集権限を出しわけないと流出リスクが高まってしまいます。そのため、情報に合わせてアクセス認可を設定することは重要です。
アクセス認可には段階があり、基本的に以下のようなアクセス権限を情報に付与できます。
| 認可段階 | 説明 |
| 閲覧のみ可能 | 閲覧のみ許可されており、情報の書き換えや削除などの編集はできません。 |
| 編集可能 | 閲覧や編集が許可されます。情報の格納先を変更することはできません。 |
| 移送可能 | 閲覧や編集・移動が許可されます。移動はシステム内での移動に限ります。 |
| コピー・持ち出し含めて全てが可能 | 閲覧や編集、移動、持ち出し、コピーなど情報に対するあらゆる操作が可能。 |
上記のような情報やリソースへのアクセス定義は、セキュリティ性の向上だけでなく、必要な情報へアクセスできるよう不要な情報へのアクセスを防ぐことでアクセスの効率化が図れます。
監査:履歴をログとして保存し管理
NACでは、ユーザーがアクセスした情報やリソース、どんな操作をしたのかなどのログを保存して管理することも機能の1つです。
ユーザーのアクセスログを保存し管理することで、インシデントが発生した場合に即座に気づき、原因の特定ができます。
アクセスログとして取得されるログには、ユーザーがどのシステムにアクセスしたのかやその時間、どんなアクションをとったのか記録されることがポイント。
細かくログを取得されるため。不正アクセスを検知し、アクセスをブロックすることが可能です。
アクセスログは毎日保存されていくため、どんどん蓄積されていき多すぎるとサーバーを圧迫してしまいます。
そのため、アクセスログを保存する場合は自社で独自に保存期間を設けてデータを管理することが重要です。
法令やガイドラインなどでアクセスログ保存期間についてさまざまな記載がありますが、基本的に1年間を目安にデータ保存期間のポリシー設定を行うことが推奨されています。
NAC(ネットワークアクセスコントロール)が重要な理由
NACはネットワークや情報を扱う業界に必要不可欠といえるほど重要です。
デジタル化が進む昨今では、自社でデバイスを提供するのではなくユーザー個人のデバイスから業務ネットワークにアクセスするケースが増えてきました。
アクセスできるデバイスの急増に比例してインシデントリスクも高まっています。特に「セキュリティ」「プライバシー」「コンプライアンス」の観点でNACの導入が重要です。
こちらでは、各観点でNAC導入が重要な理由について解説していきます。
セキュリティ
NAC導入がセキュリティ観点で重要な理由は、NAC導入によって悪意のあるサイバー攻撃から自社のシステムや情報を保護することができるからです。
DX推進がされるようになったことで企業の持つあらゆる情報がデータとしてシステムに保存されるようになりました。
その影響で、サイバー攻撃で情報が流出した場合に企業が受けるダメージは大きいです。
EACでは、ユーザーとデバイスを紐づけてアクセス権限を付与することができます。
適切なユーザーが適切なデバイスからでしかネットワークにアクセスできないようにすることでリソースの保護を行い、万が一サイバー攻撃がされた場合は原因となるアクセスを隔離またはブロックする機能があるため、サイバー攻撃からの保護や拡散防止効果が期待できます。
プライバシー
NAC導入がプライバシー観点で重要な理由は、機密性や秘匿性の高いデータにアクセス制限をかけて特定のユーザーにしか参照できないように設定できるからです。
あらゆる指標や資料などの情報がデータ化し一元管理されるようになった影響で、機密性や秘匿性の高いデータも同じ環境に保存されるようになりました。
そのためアクセス制限をかけないと管理者や経営陣にしか見せたくないデータが一般社員に見えてしまう可能性があります。
内容によっては、会社にダメージを与えかねないものや顧客情報などの個人情報に関わるものもあるため、プライバシーポリシーの構築のためにもNAC導入が重要なのです。
コンプライアンス
NAC導入がコンプライアンス観点で重要な理由は、法令に基づくデータプライバシーやデータ保護などコンプライアンス上求められるデータ管理にNACの機能が効果的だからです。
業界や業種によって、データ保護に関する法令や規則はさまざまで、それらに対応してコンプライアンス確保に務めなくてはいけません。
NACでは、ネットワークアクセスを監視・制御し、許可されたデバイスのみがネットワークに接続できるように許可をだしセキュリティポリシーの一貫性を確保、コンプライアンス要件を満たす環境構築を支援します。
不正アクセスやセキュリティ違反からネットワークを守り、コンプライアンスに不可欠なアクセス制御と監視を提供するため、コンプライアンス観点においてNAC導入は重要といえるでしょう。
NAC(ネットワークアクセスコントロール)のメリットは?
NACのメリットは多く、まずユーザーの接続や操作をマネジメントすることで、ネットワークへのアクセス権を適切な管理が可能です。
これにより、権限なきアクセスや不正利用を防ぎ、ネットワークの健全性を維持できます。
企業の重要なデータの流出防止ができることもNACの重要なメリットです。
NACは許可されたデバイスのみがネットワークに接続できるようにすることで、不正アクセスや情報漏洩を防ぎ、機密性の高いデータが不正な手に渡るリスクを最小限に抑えます。
さらに、外部からの攻撃や内部の不正行為に対してもNACはセキュリティの強化を図ることが可能です。
認証やセキュリティポリシーに基づいてネットワークアクセスを制御することで、悪意ある侵入やマルウェアの拡散を防ぎ、ネットワーク全体の安全性を確保します。
上記のことからも、NACはユーザーマネジメントやデータセキュリティの向上を通じて、ネットワーク全体のセキュリティを確保するのに効果的といえるでしょう。
NAC(ネットワークアクセスコントロール)の種類
こちらでは、NACの種類についてみていきましょう。
プレアドミッション
プレアドミッション型のNACは、ユーザーがネットワークに接続する前にセキュリティの条件を事前に確認するNAC手法です。
デバイスがネットワークに接続する前に、認証やセキュリティポリシーの適合性を検証し、要件を満たさない場合はアクセスを制限します。
未認証のアクセスを未然に防ぎ、ネットワーク全体のセキュリティ向上効果が期待できます。
プレアドミッションNACは事前のセキュリティチェックによってネットワークへのアクセスの安全性を確保し、セキュリティ違反や悪意あるアクセスを阻止します。
ポストアドミッション
ポストアドミッション型のNACは、ユーザーがネットワークに接続した後にセキュリティポリシーの遵守を検証しアクセス制限を即座に付与できるNAC手法です。
デバイスがネットワークに接続した後も、定期的な監査や特定のイベント発生時にセキュリティポリシーの適合性を確認し、違反が検出された場合にはアクセスを制限します。
ネットワークに接続した後もセキュリティの一貫性を維持し、潜在的な脅威や不正アクセスに迅速に対処可能です。
NAC(ネットワークアクセスコントロール)が重要不可欠な業界
最後に、NACが重要不可欠な業界について紹介していきます。
医療業界
医療業界では、デジタル化の影響で患者情報の管理だけでなく患者に実際に使用されている医療機器のリアルタイムの情報を医者に連携させています。
不正アクセスや悪意のあるサイバー攻撃を受けてしまうと情報漏洩による信頼を失うだけでなく、場合によっては患者の命に繋がりかねない状況が発生するのです。
そのため、医療業界においてNAC導入は必要不可欠となります。
また、医療情報自体が価値のある個人情報として、ブラックマーケットなどで高値で取引されるケースはめずらしくありません。
その他にも資金力があることやネットワーク共有を多くしていることなどサイバー攻撃を受けやすい要因が揃っているため、NACによる悪意ある攻撃者に対して対応することが必要不可欠です。
IoTデバイス
物理的なオブジェクトやデバイスにインターネットを接続させて、通信可能にするIoT技術が進化したことで、昨今さまざまなIoTデバイスが活用されています。IoTデバイスはネットワークへのアクセスも可能になるため、その分だけアクセス管理をしてネットワーク全体のセキュリティを確保しなくてはいけません。NACでは、IoTデバイスを含むさまざまなデバイスに対応してアクセス制御を実装できます。多様なデバイスによるアクセスから、セキュリティリスクを最小限に抑えるためにもNAVによるアクセス制御・管理の一元化が重要といえるでしょう。
BYOD(Bring Your Own Device)
BYOD(Bring Your Own Device)は、ユーザー個人のデバイスを業務に活用する形態のことです。個人デバイスとなるため、セキュリティ対策や性能がユーザーによって異なるためセキュリティリスクが増大します。また、個人デバイスからのネットワークアクセスは、本人が本当に利用しているのかの保証をすることが難しいです。そのためNACの二段階認証やデバイス単位でアクセス制御をかけられる機能の活用が求められます。業界を問わず個人デバイスを活用する企業は、NACを導入することでネットワークアクセスのセキュリティ保護だけでなく保護や管理に必要なコストを効率化することができるでしょう。
NAC(ネットワークアクセスコントロール)のまとめ
NAC(ネットワークアクセスコントロール)は、ネットワークにアクセスするユーザーやデバイスに対してアクセス制限をかけることでネットワークの安全性やセキュリティリスクの軽減ができる仕組みです。
リモートワークなどが推進されている現代においてあらゆるデバイスからのアクセスを想定して、アクセス制御を行うことが重要になります。NACでは、ユーザー認証やアクセス認可、アクセスログなどの管理を行い業務システムを不正アクセスなどのセキュリティインシデントから守ってくれます。
そのため、データを扱う業界や企業においてNAC導入は今後必要不可欠なものとなっていくでしょう。
NAC導入について気になる人や検討中の人で質問や不安なことなどご相談がある場合は、jiteraまでお問い合わせください。お問い合わせフォームはこちらです。
