ID とアクセス
属性ベースアクセス制御(ABAC)
別称: ABAC, ポリシーベースアクセス制御
定義
主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
属性ベースアクセス制御は、静的なロール割り当てを動的なポリシーに置き換えます。判定エンジンは、ユーザーの部門やクリアランス、リソースの分類、要求されたアクション、時刻、デバイスの状態などの属性に基づいてルールを評価します。これにより、たとえば「医師がオンコール時間中かつ管理対象端末からのみカルテを閲覧できる」など、極めて細かく文脈に応じた判断が可能になります。NIST SP 800-162 に概念が記述され、XACML や OPA Rego などの標準で実装されます。柔軟性と拡張性が強みですが、ポリシーが複雑になり監査が難しく、属性ソースの信頼性確保が課題です。
例
- user.region == resource.region かつ device.compliant == true の場合のみ許可する OPA ポリシー。
- EU の IP からアクセスする EU ユーザーのみ個人データのエクスポートを許可する XACML ルール。
関連用語
ロールベースアクセス制御(RBAC)
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
強制アクセス制御(MAC)
リソース所有者ではなく中央のポリシーが、主体と客体に付与された機密区分やクリアランスに基づいてアクセスを強制するモデル。
任意アクセス制御(DAC)
リソース所有者が、誰にどの操作を許可するかを自由に決定するアクセス制御モデル。
認可
認証済みの ID が、どのリソースに対してどの操作を、どの条件下で実行できるかを判断するプロセス。
Zero Trust Network
Zero Trust Network — definition coming soon.
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。