Entry № 088
属性ベースアクセス制御(ABAC)
属性ベースアクセス制御(ABAC) とは何ですか?
属性ベースアクセス制御(ABAC)主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
属性ベースアクセス制御は、静的なロール割り当てを動的なポリシーに置き換えます。判定エンジンは、ユーザーの部門やクリアランス、リソースの分類、要求されたアクション、時刻、デバイスの状態などの属性に基づいてルールを評価します。これにより、たとえば「医師がオンコール時間中かつ管理対象端末からのみカルテを閲覧できる」など、極めて細かく文脈に応じた判断が可能になります。NIST SP 800-162 に概念が記述され、XACML や OPA Rego などの標準で実装されます。柔軟性と拡張性が強みですが、ポリシーが複雑になり監査が難しく、属性ソースの信頼性確保が課題です。
● 例
- 01
user.region == resource.region かつ device.compliant == true の場合のみ許可する OPA ポリシー。
- 02
EU の IP からアクセスする EU ユーザーのみ個人データのエクスポートを許可する XACML ルール。
● よくある質問
属性ベースアクセス制御(ABAC) とは何ですか?
主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。 サイバーセキュリティの ID とアクセス カテゴリに属します。
属性ベースアクセス制御(ABAC) とはどういう意味ですか?
主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
属性ベースアクセス制御(ABAC) からどのように防御しますか?
属性ベースアクセス制御(ABAC) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
属性ベースアクセス制御(ABAC) の別名は何ですか?
一般的な別名: ABAC, ポリシーベースアクセス制御。