RBAC(ロールベースアクセス制御)とは

ことばの意味
RBAC(ロールベースアクセス制御)とは

RBAC(Role-Based Access Control=ロールベースアクセス制御)とは、ユーザー一人ひとりにではなく、「役割(ロール)」ごとに権限を割り当てる仕組みのことです。部署・役職に応じて、見られる範囲を制御します。

社内の全員に、すべての図面を見せる必要はありません。むしろ、見る必要のない人がアクセスできること自体がリスクです。RBACは、「役割」に応じて、誰が何にアクセスできるかを決める仕組みです。

「人」ではなく「役割」に権限を付ける

権限管理には、2つのやり方があります。一人ひとりに個別に権限を設定する方法と、「役割」ごとに権限を決めておき、人にはその役割を割り当てる方法です。RBACは後者です。

たとえば、「設計者ロールは図面の閲覧・編集ができる」「現場ロールは閲覧のみ」「経理ロールは図面を見られない」と、役割ごとに鍵の束を用意しておく。新しい人が入ったら、その人に合う役割を割り当てるだけで、適切な権限が一括で付きます。一人ずつ細かく設定する手間が省け、設定ミスによる権限の付けすぎも防げます。役割という束で管理するのが、RBACの肝です。

なぜ「最小権限」が守りになるのか

RBACの狙いは、各役割に「仕事に必要な最低限の権限だけ」を与えること——最小権限の原則です。

これがなぜ守りになるか。仮に、ある社員のアカウントが乗っ取られたとします。もしその社員に全図面の権限が付いていたら、全図面が流出します。しかし、担当案件の図面しか見られない権限なら、被害はその範囲で止まります。誰もが必要以上の権限を持たないことが、万一のときの被害を小さくします。協力会社に「特定案件の閲覧のみ」を渡せるのも、この仕組みがあるからです。

役割ごとに見せる範囲を分ける

RBACは、利用者の役割に応じて、見られる情報や操作できる範囲を分ける考え方です。図面を扱うサービスでは、誰に何を見せるかの制御が情報を守る要になります。ARCHAIVEでの権限の分け方や設定できる範囲は、運用に合わせて確認できる項目にあたります。

よくある質問

Q.RBACと普通の権限設定は違いますか?
RBACは「役割」単位で権限を管理します。人ごとの個別設定より、設定が速く、付けすぎや漏れが起きにくいのが利点です。
Q.役割は自社に合わせて作れますか?
一般に、部署・役職・案件などに応じて役割を定義できます。自社の組織と業務に合わせて、見える範囲を設計します。