アクセス制御とは、社内システムやデータに対するアクセスを、ルールにもとづいて許可・拒否する仕組みです。アクセス制御は「アクセス権限」という設計内容を実際のシステム上で機能させる役割を持ち、閲覧や編集の可否だけでなく、アクセス元や認証条件まで含めて制限できます。
アクセス制御の目的は、機密情報や個人情報を守りつつ、業務に必要な利用は止めない状態をつくることです。データ利活用の現場では、分析用のデータ基盤やBIツールに多くの人が触れるため、アクセス制御が弱いと情報漏えいだけでなく、誤更新や削除といった事故も起きやすくなります。
具体例としては、ロールベースアクセス制御(RBAC)のように「役割」に応じて閲覧・編集権限を切り替える方法があります。加えて、IPアドレス制限で社内ネットワークからのみアクセスを許可したり、多要素認証(MFA)を必須にして本人確認を強化したりする運用も代表的です。
アクセス制御を運用する際は、権限付与のルールを文書化し、追加・変更・削除の手続きを定めておくことが大切です。人事異動や退職、外部委託の終了に合わせて権限が適切に更新されないと、不要なアクセス経路が残り、監査対応でも問題になりかねません。
