.png)
とは
ロールベースアクセス制御 (RBAC)
?
ロールベースアクセス制御 (RBAC) の説明
RBACは、各ユーザーまたはプロセスに、それぞれの役割の遂行に必要な情報、データ、およびリソースへの最小限のアクセスしか許可されず、それ以上は許可されないという最小権限の概念に関連付けられています。
役割ベースのアクセス制御を求める場合、組織はまず特定のユーザーが自分の職務を遂行するために何をする必要があるかを判断し、次に、そのユーザーが自分の立場に関連する特定のタスクを実行することのみを許可する適切な役割(アクセスポリシー)を作成または割り当てる必要があります。将来、さらに権限が必要になったり、追加したりする必要が生じた場合にのみ、権限が拡張されます。過度に広範な権限を作成して後で制限する場合は、その逆を避ける必要があります。
RBACはなぜ重要なのでしょうか?
最小限の権限を実装するRBACコントロールは、データセキュリティのリスクを軽減し、データプライバシーを強化するため、機密データへのアクセスを許可する必要があるユーザーのみが実際にアクセス権を付与されます。RBAC の統制が貴社に当てはまる例は数多くあります。たとえば、これらの統制は、新入社員が誤って解釈する可能性のある機密情報に出くわすのを防ぐのに役立ちます。統制は、従業員が取り組もうとして失敗する可能性のある高レベルのタスクにアクセスできないようにすることもできます。
RBACコントロールは、企業が請負業者または第三者と情報を共有する場合にも役立ちます。RBACでは、権限を外部の当事者に必要な情報のみに制限することができます。これらの制御により、コンテンツを共有する際に企業の機密情報が確実に保護されます。
RBACコントロールは、特に雇用時に役立ちます。従来、新入社員を雇用する際には、さまざまなレベルのデータへのアクセス許可を与えるプロセスを経ていました。古い従業員を交代させる場合、複数のチャネルで古い従業員をブロックし、新入社員がデータにアクセスして管理できるように無数のパスワードを変更する許可を与えます。
ただし、RBACの統制により、新入社員のオンボーディングと古い従業員の入れ替えの移行をよりシームレスに行うことができます。RBAC を使用すれば、古い従業員にデータへのアクセスを許可したり、新入社員にデータへのアクセスを許可したりするように設定を変更するだけで済みます。これにより、情報とデータアクセスの移行をよりスムーズに行うことができます。
さらに、データへのアクセス方法を厳しく管理しているため、組織はセキュリティとプライバシーに関する規制要件を満たすためにRBACコントロールを実装しています。このセキュリティは、クライアント間の信頼を築き、会社と共有される情報が秘密にされているという確信を高めるのに役立ちます。さらに、RBACを導入することで、組織はアプリケーションへのアクセスと使用に関する職務の分離を実施できます。
役割、権限、スコープ
RBACに関連する用語をいくつか見てみましょう。
1つ目は役割の考え方です。ロールはユーザーの仕事に関連して作成されるため、ユーザーには特定のアクセスレベル、つまり権限によって定義される権限でできることとできないことに対応するロールが割り当てられます。
役割は、管理者またはスーパーユーザーから、ユーザー、編集者、閲覧者、閲覧者などまでさまざまで、それぞれが少数の権限で構成されています。
ロールが作成されると、そのロールに何が許可されるかを定義する権限が割り当てられます。権限は、編集や削除ができる完全な権限から、ポリシーをドラフトするための部分的な権限 (たとえば、承認やプロビジョニングはできない)、リソースの閲覧のみができる権限まで、さまざまです。ここでは、従業員が職務を遂行するのに必要な最小限のアクセス権限を割り当てるには、最低権限が非常に重要です。
最小権限の影響をさらに高めるために、スコープを追加して、(権限を持つ適切なロールを介して) どのリソースアクセスを許可するかを定義または制限できます。
RBACのメリット
ロールベースのアクセス制御には、次のような多くの利点があります。
- RBACの役割は、1回限りのアドホックな権限付与ではなく、アクセス管理を明確に定義し、繰り返し可能にします。
- 組織がデータプライバシーに関するコンプライアンス義務を果たすことを可能にします。
- どのユーザーがどのようなアクセス権と権限を持っているかを把握する上での謎を解き明かします。
- 企業における職務の明確な分離を可能にします。
マイクロセグメンテーションを使用した RBAC の例
ERP アプリケーションのマイクロセグメンテーションポリシーの作成とプロビジョニングに関する RBAC の例を見てみましょう。アプリケーション所有者はアプリケーションを最もよく知っているので、ポリシーを作成してもらいたいのですが、管理者にポリシーを確認してプロビジョニングしてもらいたいのです。
まず、アプリ所有者には制限付きルールセットマネージャーの役割が割り当てられます。このロールには、すべてのセグメンテーションルールセットを追加、編集、削除する権限があります。ただし、担当者が操作できる範囲は、開発サイクルのどの段階にあっても、ERP アプリケーションのワークロードが存在する場合でも、ERP アプリケーションに限定されます。つまり、ERP アプリケーションのポリシーを表示して作成することしかできません。
ERP所有者が適切なセグメンテーションポリシーを作成したら、より大きな「グローバル」権限を持つ役割が、アプリケーション所有者が作成したポリシーを確認してプロビジョニング(ライブ配信)します。
お分かりのように、RBACを使用すると、アプリケーション所有者とIT管理者の間で職務を厳密に分離できます。組織は、ルールセットマネージャーの役割を割り当てられた人ができることとできないことを正確に把握できます。
RBACとABACの違い
役割ベースのアクセス制御と属性ベースの制御 (ABAC) のアプローチは異なりますが、どちらもアクセス制御方法のタイプです。
ABACでは、システムが認識して整理できるさまざまな属性の組み合わせに基づいたアクセス制御が可能です。属性の例としては、特性、アクションタイプ、ロール、ID、セキュリティクリアランス、リソース属性などがあります。それに比べて、RBAC ではユーザーの役割に応じてアクセスを許可します。
基本的なビジネスコントロールアクセスを始めるには、RBACメソッドが最適です。ABAC制御はより技術的になり、アクセス制御方法にまだ慣れていないと混乱しやすくなります。ただし、どちらの方法も、どのビジネスや組織にとってもメリットがあります。
RBAC を実装するためのベストプラクティス
RBACの実装は、最初は困難に思えるかもしれません。ただし、RBAC を実装して使用することで、組織はよりシームレスかつ効率的に運営できるようになります。以下に、ロールベースのアクセス制御を会社に導入する際に留意すべきベストプラクティスを示します。
- 現在の役割: 社内の役割を区別するのは難しい場合があります。ただし、役割ベースのアクセス制御では、従業員が必要な情報にのみアクセスできるようにするために、役割の設定が不可欠です。まず、同じアクセスニーズを持つ役割を作成することから始めます。たとえば、電子メールと企業イントラネットにアクセスできる基本的なアクセスロールを作成できます。次に、組織内のさまざまな役職に関係する役割を作成し、次に、組織内の情報にアクセスする必要のある第三者の役割を作成します。ロールをユーザーベースのアクセス制御ではなくロールベースのアクセス制御に合わせるには、あまり多くのロールを作成しないようにする必要があることを覚えておいてください。
- 役割の割り当て: 次に、各ロールを確認して、そのロール内の各ユーザーがアクセスする必要があるリソースを割り当てます。たとえば、電子メール、管理システム、特定のデータベースなどです。
- ユーザーガイドの作成: すべての役割と、それぞれの役割で利用できるアクセス権を書き留めておくことが重要です。このステップは、実装プロセスにおいて、何がうまくいっていて、何が改善できるかをよりよく分析するのに役立ちます。ユーザーガイドは、将来ロールを割り当てるときに、そのロール内の各ユーザーにどのようなアクセス権限が付与されているかを覚えておくのにも役立ちます。
- 変更の実装: 役割を作成し、アプリケーションを割り当て、ユーザーガイドを完成させたら、各役割に従業員を割り当てて公開します。これは最も恐ろしい作業ですが、プロセスをよりスムーズに進めるために、最初の数週間は従業員全員に調整を手伝ってもらうように準備しておいてください。
- トレーニングの実施: 従業員は、社内の変化に不満を感じる可能性があります。これは、どのような変更、特にソフトウェアの移行でも予想されることです。物事をよりスムーズに進めるためには、導入前と導入後に従業員向けのトレーニングを実施して、変更に慣れ親しみ、自信を持って前に進めることができるようにします。
- 学習と適応: 導入後は、従業員、その役割、セキュリティステータスを定期的に監査することを忘れないでください。導入から最初の数週間から数ヶ月の間に、頻繁に変更を加える必要があるでしょう。物事が順調に進み始めたら、監査を続け、必要に応じて調整を行い、最高の企業セキュリティを確保してください。
Illumioは、RBACを企業や組織に効果的に実装するために必要なソフトウェアを提供できます。