RBAC(ロールベースアクセス制御)とは
RBAC(Role-Based Access Control=ロールベースアクセス制御)とは、ユーザー一人ひとりにではなく、「役割(ロール)」ごとに権限を割り当てる仕組みのことです。部署・役職に応じて、見られる範囲を制御します。
社内の全員に、すべての図面を見せる必要はありません。むしろ、見る必要のない人がアクセスできること自体がリスクです。RBACは、「役割」に応じて、誰が何にアクセスできるかを決める仕組みです。
「人」ではなく「役割」に権限を付ける
権限管理には、2つのやり方があります。一人ひとりに個別に権限を設定する方法と、「役割」ごとに権限を決めておき、人にはその役割を割り当てる方法です。RBACは後者です。
たとえば、「設計者ロールは図面の閲覧・編集ができる」「現場ロールは閲覧のみ」「経理ロールは図面を見られない」と、役割ごとに鍵の束を用意しておく。新しい人が入ったら、その人に合う役割を割り当てるだけで、適切な権限が一括で付きます。一人ずつ細かく設定する手間が省け、設定ミスによる権限の付けすぎも防げます。役割という束で管理するのが、RBACの肝です。
なぜ「最小権限」が守りになるのか
RBACの狙いは、各役割に「仕事に必要な最低限の権限だけ」を与えること——最小権限の原則です。
これがなぜ守りになるか。仮に、ある社員のアカウントが乗っ取られたとします。もしその社員に全図面の権限が付いていたら、全図面が流出します。しかし、担当案件の図面しか見られない権限なら、被害はその範囲で止まります。誰もが必要以上の権限を持たないことが、万一のときの被害を小さくします。協力会社に「特定案件の閲覧のみ」を渡せるのも、この仕組みがあるからです。
役割ごとに見せる範囲を分ける
RBACは、利用者の役割に応じて、見られる情報や操作できる範囲を分ける考え方です。図面を扱うサービスでは、誰に何を見せるかの制御が情報を守る要になります。ARCHAIVEでの権限の分け方や設定できる範囲は、運用に合わせて確認できる項目にあたります。