アクセス制御とは何ですか？

誰がどのリソースに対してどのような操作を行えるかを管理する仕組み。認証（本人確認）と認可（権限確認）を組み合わせて情報を保護する。

アクセス制御のポイントは？

認証（Authentication）で「誰か」を確認し、認可（Authorization）で「何ができるか」を制御する。RBAC、ABAC、ACLなどさまざまな方式がある。最小権限の原則（必要最低限の権限だけ付与する）が基本。OSのファイルパーミッション、クラウドのIAM、Webアプリのユーザー権限など幅広く適用される

【あくせすせいぎょ】

アクセス制御とは？

💡 「誰が」「何に」「どこまで」できるかを管理する門番

📌 このページのポイント

認証（Authentication）で「誰か」を確認し、認可（Authorization）で「何ができるか」を制御する
RBAC、ABAC、ACLなどさまざまな方式がある
最小権限の原則（必要最低限の権限だけ付与する）が基本
OSのファイルパーミッション、クラウドのIAM、Webアプリのユーザー権限など幅広く適用される

アクセス制御の流れ

ひよこ

アクセス制御って具体的にどういうこと？

ペンギン先生

たとえば会社のシステムで、一般社員は自分の給与明細だけ見られるけど、人事部は全員の給与データにアクセスできる、みたいな仕組みだよ。「誰が」「何に」「どんな操作を」できるかをルールで管理するんだ。

ひよこ

認証と認可って何が違うの？

ペンギン先生

認証は「あなたは誰ですか？」を確認すること。IDとパスワードで本人確認するのが認証だね。認可は「あなたには何をする権限がありますか？」を確認すること。ログインできても管理者ページにアクセスできるかは認可で決まるんだ。

ひよこ

最小権限の原則って何？

ペンギン先生

必要最低限の権限だけを与えるという原則だよ。たとえば経理のシステムで、閲覧だけでいい人に編集権限まで与えると、ミスや不正のリスクが増えるよね。必要な分だけ与えることで、万が一アカウントが乗っ取られても被害を最小限に抑えられるんだ。

ひよこ

クラウドでもアクセス制御は使われてるの？

ペンギン先生

もちろん。AWSのIAM、GCPのCloud IAMなど、クラウドではアクセス制御が非常に重要だよ。「このサーバはこのデータベースだけ読み取りできる」「この開発者は本番環境にアクセスできない」といった細かい制御ができるんだ。

まとめ：ざっくりこれだけ覚えればOK！

「アクセス制御」って出てきたら「誰がどのリソースにどこまでアクセスできるかを管理する仕組みだな」と思えればだいたいOK！

📖 おまけ：英語の意味

「Access Control」＝アクセスの制御

💬 物理的な入退室管理もアクセス制御の一種。ITではデータやシステムへのアクセスを管理するよ

← 用語集にもどる

アクセス制御 とは？

アクセス制御とは？