ACLとは

ACLとは「Access Control List」の略で、直訳すると「アクセス制御リスト」となります。これは、コンピューターシステムやネットワーク上の資源（リソース）に対して、誰にどのような操作を許可するのかなどを定めたルールのリストです。具体的には、送信元や宛先のIPアドレス等をもとに、条件に合致した通信のみを許可します。ACLはネットワークにおける「通行許可証」のような役割を果たしており、不正なアクセスを防ぎ、安全な通信環境を維持するために不可欠な技術です。

ACLは、ルーターやファイアウォールといったネットワーク機器に設定されます。そこを通過しようとする通信データ（パケット）を一つひとつチェックし、リストのルールに合致するかどうかを判断します。このとき、ルールはリストの上から順番に評価され、条件に一致した時点でそのルールが適用され、残りのルールは無視されます。もしどのルールにも一致しなかった場合、多くのACLでは「暗黙のDeny（Deny any）」という原則が適用されます。これは、「明示的に許可されていない通信はすべて拒否する」というセキュリティの基本方針です。この仕組みによって、意図しない不正な通信がネットワーク内部に侵入することを防ぎます。

例えば以下の3つのルールがACLで定められているとします。もし企画部NWから開発部NWに通信したい場合、ルール番号1は合致しないのでスルーされ、続くルール番号2が合致し、通信が許可されます。そして、総務部NWから開発部NWに通信したい場合には、ルール番号1も2も合致せず、暗黙のDenyが適用され、通信が拒否されます。

ACLには、主に「標準ACL」と「拡張ACL」の2種類があります。これらの最も大きな違いは、通信をチェックする際の「細かさ」です。標準ACLは送信元のIPアドレスだけを見てチェックしますが、拡張ACLは宛先IPアドレスやプロトコル、ポート番号などまでを厳格にチェックします。

例えば、「特定の部署からのアクセスを全面的に禁止する」といった大まかな制御であれば標準ACLが適しています。一方で、「A部署からは、BサーバーのWeb閲覧サービスだけを許可する」といった具体的な制御を行いたい場合は、拡張ACLを使用する必要があります。より厳密なアクセス制御が可能なことから、企業においては拡張ACLの方がより多く用いられています。