Role-based access controlとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > 百科事典 > Role-based access controlの意味・解説 

ロールベースアクセス制御

(Role-based access control から転送)

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/12/28 08:43 UTC 版)

ロールベースアクセス制御: Role-based access control, RBAC[1][2]は、認められたユーザーのシステムアクセスを制限するコンピュータセキュリティの手法の一種。強制アクセス制御 (MAC) や任意アクセス制御 (DAC) よりも新しい手法である。

概要

RBAC は、ポリシーを柔軟に設定できるアクセス制御法であって、任意アクセス制御 (DAC)[3]も強制アクセス制御 (MAC)[4]もシミュレート可能である。

RBAC が開発されるまで、アクセス制御法としては MAC と DAC しかなかった。従って、MAC を使っていないなら DAC を、DAC を使っていないなら MAC を使っていると思ってほぼ間違いなかった。90年代後半の研究では、RBAC はそのどちらにも分類されていない[要出典]

組織において、「ロール(役割)」とは仕事上の機能を表す。ある操作を実行する許可(パーミッション)は、特定のロールに対して割り当てられる。各従業員には特定の(場合によっては複数の)ロールが割り当てられ、それによって特定のシステム機能を実行するパーミッションが与えられる。コンテキストベースアクセス制御 (CBAC) とは異なり、RBAC はメッセージのコンテキスト(コネクションがどこから起動されているかなど)を考慮しない。

ユーザーに対して直接パーミッションが与えられるわけではなく、ロールを通して与えられるため、各人のアクセス権の管理はユーザーへのロールの適切な割り当てに単純化され、ユーザーアカウントの追加やユーザーの部門間の異動などにも容易に対応できる。

RBAC は従来からあるアクセス制御手法であるアクセス制御リスト (ACL) とも異なる。ACL はデータオブジェクトについてアクセス権を設定するが、RBAC は組織内での意味を考慮して操作そのものにアクセス権を設定する。例えば、ACL は特定のシステムファイルへの書き込みを許可/拒否するが、そのファイルをどう変更すべきかは規定しない。一方 RBAC では、銀行口座の開設操作のパーミッションとか、血糖値検査結果を記録するパーミッションといった規定が可能である。すなわち、利用者にとって意味のある形式で細かくパーミッションを設定可能である。

ロール階層と制限の概念をあわせて採用すると、RBAC によってラティスベースアクセス制御 (LBAC) も構築できる。従って、RBAC は LBAC も包含していると見なすことができる。

RBACモデルを定義する場合、以下のような略記法が便利である。

  • S = Subject = 個人または自律エージェント
  • R = Role = 仕事上の機能、または権限レベルを定義するタイトル
  • P = Permission = リソースへのアクセスモードの承認
  • SE = Session = S、R、P のマッピング
  • SA = Subject Assignment(Subject割り当て)
  • PA = Permission Assignment(Permission割り当て)
  • RH = Partially ordered role Hierarchy(半順序ロール階層)。≥ とも表記する。
  • Subject は複数の Role を持つことができる。
  • Role は複数の Subject に対応させることができる。
  • Role は複数の Permission を持つことができる。
  • Permisson は複数の Role に対応させることができる。

制限を置くことで、相反するロールを1人の個人が持つことがないようにする。つまり、職務の適切な分離を達成する。例えば、1人の個人がログインアカウントの作成とアカウント作成のための手続きが可能になっているのは適切ではない。

集合論的記法を使うと、次のようになる。

  • PAP × R - 多対多のパーミッションとロールの割り当て関係
  • SAS × R - 多対多の個人とロールの割り当て関係
  • RHR × R

x ≥ y と書いた場合、x が y のパーミッションを継承することを意味する。

ユーザー権限の管理をRBACで行うことは、ベストプラクティスとして単一システムやアプリケーションでは広く使われている手法である。マイクロソフトActive DirectorySELinuxFreeBSDSolarisOracle DBMSPostgreSQL 8.1、SAP R/3 などで RBAC が何らかの形で実装されている。

異機種混在型のIT基盤のある大きな組織では、ロールを階層化しないとRBACを全体で運用することは非常に複雑で困難となる。このような大規模な権限設定についての戦略は、Beyond Roles: A Practical Approach to Enterprise User Provisioning で論じられている。RBAC の企業全体への展開の問題に対処するため、NISTモデル[5]を拡張した新たなシステムもある。このテーマの研究論文はいくつかあり、商用システムでこれを実装した Beyond NIST がある。

関連項目

脚注

  1. ^ Ferraiolo, D.F. and Kuhn, D.R. (1992年10月). "Role Based Access Control" (PDF). 15th National Computer Security Conference. pp. 554–563.
  2. ^ Sandhu, R., Coyne, E.J., Feinstein, H.L. and Youman, C.E. (1996年8月). "Role-Based Access Control Models" (PDF). IEEE Computer. IEEE Press. 29 (2): 38–47.
  3. ^ Ravi Sandhu, Qamar Munawer (1998年10月). "How to do discretionary access control using roles". 3rd ACM Workshop on Role-Based Access Control. pp. 47–54.
  4. ^ Sylvia Osborn, Ravi Sandhu, and Qamar Munawer (2000年). "Configuring role-based access control to enforce mandatory and discretionary access control policies". ACM Transactions on Information and System Security (TISSEC). pp. 85–106.
  5. ^ Sandhu, R., Ferraiolo, D.F. and Kuhn, D.R. (2000年7月). "The NIST Model for Role Based Access Control: Toward a Unified Standard". 5th ACM Workshop Role-Based Access Control. pp. 47–63.

外部リンク


「Role-based access control」の例文・使い方・用例・文例

Weblio日本語例文用例辞書はプログラムで機械的に例文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「Role-based access control」の関連用語

Role-based access controlのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



Role-based access controlのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのロールベースアクセス制御 (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
Tanaka Corpusのコンテンツは、特に明示されている場合を除いて、次のライセンスに従います:
 Creative Commons Attribution (CC-BY) 2.0 France.
この対訳データはCreative Commons Attribution 3.0 Unportedでライセンスされています。
浜島書店 Catch a Wave
Copyright © 1995-2025 Hamajima Shoten, Publishers. All rights reserved.
株式会社ベネッセコーポレーション株式会社ベネッセコーポレーション
Copyright © Benesse Holdings, Inc. All rights reserved.
研究社研究社
Copyright (c) 1995-2025 Kenkyusha Co., Ltd. All rights reserved.
日本語WordNet日本語WordNet
日本語ワードネット1.1版 (C) 情報通信研究機構, 2009-2010 License All rights reserved.
WordNet 3.0 Copyright 2006 by Princeton University. All rights reserved. License
日外アソシエーツ株式会社日外アソシエーツ株式会社
Copyright (C) 1994- Nichigai Associates, Inc., All rights reserved.
「斎藤和英大辞典」斎藤秀三郎著、日外アソシエーツ辞書編集部編
EDRDGEDRDG
This page uses the JMdict dictionary files. These files are the property of the Electronic Dictionary Research and Development Group, and are used in conformance with the Group's licence.

©2025 GRAS Group, Inc.RSS