RBACとABACのどちらを使用すべきか？

役割に応じたアクセス制御（RBAC）と属性に応じたアクセス制御（ABAC）の主な違いは、ユーザーやリソースにアクセスを付与する仕組みにあります。 RBACでは、組織内でのユーザーの役割に基づいてアクセス権を付与しますが、ABACでは、環境といったユーザーの特性に基づいてアクセス権を付与します。

ここでは、RBACとABACについて説明し、両者の重要な相違点、組織でどちらのアクセス制御形式を採用するべきかについて詳しく見ていきます。

ロールベースのアクセス制御 (RBAC)とは？

役割に応じたアクセス制御（RBAC）とは、Role Based Access Controlの略称で、ユーザーにその役割に必要な権限だけを付与し、システムやネットワーク、リソースへのアクセスを制限します。RBACの基本となるのは「最小特権の原則（PoLP）」で、ユーザーが業務を遂行するために必要な範囲の情報にのみアクセスできるようにします。

例えば、組織内のすべての従業員が同じレベルでセンシティブな情報にアクセスできる状況を考えてみてください。この場合、1人の従業員のアカウントが漏洩すると、サイバー犯罪者はそのアカウントを使って不正に重要なデータを盗んでしまう可能性があります。RBACを導入している組織では、従業員は自分の役割に必要な範囲の情報しかアクセスできないため、もしサイバー攻撃が発生しても、犯罪者がアクセスできるのは影響を受けた従業員が担当する範囲の情報だけに限られます。

属性に応じたアクセス制御 (ABAC)とは？

属性に応じたアクセス制御（ABAC）とは、Attribute Based Access Controlの略称で、ユーザーの役割だけでなく、セキュリティ基準や環境、デバイスなどの属性に基づいて、誰がシステムやデータにアクセスできるかを決定します。RBACがユーザーの役割に基づいてアクセスを制限するのに対し、ABACはユーザーのアイデンティティに加えて、他の要素も考慮してアクセスを許可します。

例えば、財務アナリストが財務データにアクセスする必要がある場合、ABACでは、財務アナリストが営業時間内にオフィスにいる場合のみデータにアクセスできるように設定できます。これにより、特定の職務に就いていることや、部署に属していることに加えて、適切な条件下でのみセンシティブな情報にアクセスできるようになり、職場のセキュリティが強化されます。

RBACとABACの主な違い

RBACとABACはどちらも権限とアクセス制御を管理するものですが、どのようにアクセスが付与されるかを決定する仕組みに大きな違いがあります。

役割に応じた制御のRBAC、属性に応じた制御のABAC

RBAC（役割ベースのアクセス制御）とABAC（属性ベースのアクセス制御）の最も大きな違いは、その制御の基準です。RBACはユーザーの役割に基づいてアクセスを許可し、ABACはユーザーの属性に基づいてアクセスを許可します。

例えば、RBACでは、人事部門の従業員が従業員の給与情報にアクセスできますが、営業部門の従業員はその情報にはアクセスできません。

一方、ABACでは、特定の条件が満たされたユーザーだけがアクセスできるように設定します。例えば、医師は勤務時間中に病院内にいる場合のみ患者の記録にアクセスでき、アクセスできるのは自分が担当している患者の記録のみです。

RBACでは静的な特権を付与、ABACではきめ細かな制御が可能

RBACでは、一度従業員の役割が設定されると、管理者が変更しない限り、その従業員の権限は変わりません。例えば、マーケティングチームに所属する従業員には、たとえ販売データや財務情報へのアクセスが必要でも、マーケティング関連の全権限が与えられます。

一方、ABACでは複数の属性に基づいて権限が制御されるため、ユーザー権限の変更が容易で、より細かい制御と柔軟性が可能です。例えば、普段はオフィスで働くマーケティングチームの従業員が突然リモート勤務をする必要が生じた場合、ABACではオフィスにいる必要があるという制限を外し、リモート勤務中でも必要なデータやリソースにアクセスできるように権限を調整できます。

RBACは変化に適応しにくく、ABACは属性変更に迅速に対応

ABACでは、RBACと比較して従業員の特権を変更または更新するのがはるかに簡単です。 財務チームの従業員をマネージャーの役割に昇進させたと想定します。その場合、その従業員がアクセスしなければならないデータは増加します。 RBACでこの変更を行うには、制限付きのアクセスが更新された役割を新規に作成し、その役割を従業員に割り当て直す必要があります。 ABACではこの面倒なプロセスが簡素化されます。従業員の役割とその他の要素に応じて必要な特権を付与するので、従業員の新しい職務名に応じて特権が自動的に変更されます。 ABACでは迅速な調整の実施によって時間を節約でき、役割全体を変更して従業員を特定の職務名に割り当て直すことなく、簡単に権限を変更することができます。

RBACは役割数の増加で管理が困難に、ABACは属性によってスケーリングが可能

大規模な組織で働いている場合、多数の部門の中にそれぞれ異なる職務名があると考えられます。 組織が成長するに従い、新しい役割を作成する必要があります。 各役割はそれぞれ異なるリソースと情報へのアクセスを必要とするため、RBACでは役割の数が増加して課題が発生します。管理者はこうした役割と役割が許可する権限を監視、管理しなければなりません。 ABACを実装することで、大規模組織では、所属する部門、勤務している場所、職務名といったさまざまな属性に応じてリソースへのアクセスを付与できます。 ABACでは、特定の属性に応じて新規ユーザーにアクセス権限を付与できるため、大規模企業にとってよりスケーラブルな方法です。

RBACはABACよりも簡単に実装可能

構造がシンプルなRBACは、ABACよりもかなり容易に実装できるため小規模企業に適しています。 RBACを使用する場合、適切な権限を割り当てて各役割を定義し、特定のリソースやデータにアクセスできるユーザーを制限する必要があります。 小規模の場合、RBACの構造は簡単に管理できますが、その属性が劇的に異なる可能性があるABACでは実装するのがはるかに困難になります。 大規模組織の場合、特定の特権が付与される属性を判断し、そうした属性に応じて従業員がアクセスできるリソースを決定しなければなりません。 ABACの実装には、異なる種類の情報、システム、リソースについてどのような属性が必要かを評価するための大規模な計画と長期におよぶ時間が必要となります。

役割ベースのRBACと属性ベースのABACのどちらを会社内で使用していくべきか？

RBACとABACのどちらが適切な承認モデルかどうかは、組織の規模、予算、セキュリティのニーズに大きく左右されます。

RBACを使用するべき場合

• 中小規模の組織である
• 組織には構造化されたグループがあり、いくつかの異なる職務名がある
• 多数の新入社員を迎え入れることは想定していない

ABACを使用するべき場合

• 成長し続けている大規模な組織である
• 組織には複数の場所と時間帯で働く従業員がいる
• セキュリティのニーズの進化に応じて変更可能な、柔軟で粒度の細かいポリシーを希望する

まとめ：PAMソリューションによるアクセス制御の実装

組織は、特権アクセス管理（PAM）ソリューションを使うことでいずれかの承認モデルを簡単に実装できます。 大半のPAMソリューションでは、管理者は、ネットワーク、アプリケーション、システム、デバイスにアクセスしているユーザーを完全に視覚化することが可能です。 KeeperPAM^®のようなPAMソリューションを利用すると、特にセンシティブデータにアクセスできるユーザーを制御することで、あらゆる特権アカウントのセキュリティを管理、制御できます。

今すぐKeeperPAMのデモをリクエストして、組織のデータをしっかりと保護して、簡単にアクセス制御を管理しましょう。