ロールベースのアクセスコントロール(RBAC)と属性ベースのアクセスコントロール(RBAC)の違いとは?

RBAC vs. ABAC:定義と使用方法

RBAC vs. ABAC:定義と使用方法

大切なデジタル資産を守るには、アイデンティティ管理の手法を活用する必要があります。しかし、その保護はどのような形で行われるべきでしょうか。

ロールベースのアクセスコントロール(ロールベースのアクセス制御 / Role-Based Access Control / RBACと属性ベースのアクセスコントロール(属性ベースのアクセス制御 /  Attribute-Based Access Control  / ABAC)の違いを知ることで、スマートな意思決定が可能になります。

RBACとABACの主な違いは、アクセスを許可する方法です。RBACは、ロール別、つまり役割別にアクセスを許可する手法です。ABACは、ユーザーの属性、オブジェクトの属性、アクションタイプなどによってアクセスを決定する手法です。

以下に詳しく説明します。

ロールベースのアクセスコントロールとは?

RBACを使用する場合、コンピュータシステムにログインした人に許可される操作は、その人の役割によって異なります。

RBACで「ロール」という用語は、通常は、以下のような特性を共有する人々のグループを指します。

  • 部署
  • 場所
  • 組織内の階級
  • 職務
【図解】ロールベースのアクセスコントロール

ロールを定義すると、以下のようなアクセス許可を割り当てることができます。

  • アクセス:その人に何が表示されるか?
  • 操作:その人は何を読みとることができるか?その人は何を書き込むことができるか?その人はファイルの作成や削除を実行できるか?
  • セッション:その人はどのくらいの期間システムにとどまることができるか?いつからログインできるか?ログインの有効期限はいつか?

すべてのRBACシステムはこのように動作します。しかし、米国標準技術研究所(National Institute of Standards and Technology)は、さらに柔軟性が必要な場合に備えて、RBACの4つのサブタイプを定義しています。

  • フラット:すべての従業員は、アクセス許可を定義する少なくとも1つのロールを持ちますが、中には複数のロールを持つ人もいます。
  • 階層: