ds security design
まず結論
RBAC(ロールベースアクセス制御)とは、ユーザーに「役割(ロール)」を割り当て、その役割ごとにアクセス権限を管理する仕組みです。
DS検定では、「どのアクセス制御方式が適切かを判断できるか」を問われることが多く、特に MAC・DAC・ABACとの違いを切り分けられるか がポイントになります。
直感的な説明
会社のシステムを想像してみてください。
- 管理者 → すべての機能が使える
- 一般社員 → 閲覧のみ
- 承認担当 → 承認ボタンだけ使える
このように「人ごと」ではなく、役職・役割ごとにまとめて権限を設定するのがRBACです。
一人ひとりに個別設定するよりも、
「営業ロール」「管理者ロール」のようにまとめたほうが管理しやすくなります。
つまりRBACは、実務で最もよく使われる現実的なアクセス管理方式です。
定義・仕組み
RBAC(Role-Based Access Control)は、
- ユーザーにロールを割り当てる
- ロールに権限を割り当てる
という二段階構造で権限を管理します。
ポイントは「直接ユーザーに権限を与えない」こと
× ユーザー → 権限
〇 ユーザー → ロール → 権限
この構造にすることで、
- 人事異動があってもロール変更だけで対応できる
- 権限のばらつきを防げる
- 管理がシンプルになる
というメリットがあります。
DS検定では、「ユーザーごとに機能を出し分ける」ような問題文が出たら、まずRBACを疑うのが基本です。
どんな場面で使う?
使う場面
- 社内業務システム
- クラウドサービスの管理画面
- データ分析基盤での閲覧・編集権限管理
特にデータサイエンスの現場では、
- 分析者はデータ閲覧可
- 管理者は削除可
- 一般利用者はダッシュボード閲覧のみ
といった制御が必要になります。
使うと誤解しやすい場面
「時間帯」「場所」「属性」まで考慮する必要がある場合はRBACだけでは不十分です。
その場合はABACが適切になります。
よくある誤解・混同
① MAC(強制アクセス制御)との違い
MACは「機密レベル」などに基づき、管理者が強制的に制御する方式です。
軍事・政府系システムのような世界観です。
DS検定では
「機密レベル」「セキュリティラベル」という言葉があればMACを疑います。
② DAC(選択アクセス制御)との違い
DACは、ファイルの所有者がアクセス権を決められる方式です。
個人が他人に共有許可を出せるようなイメージです。
RBACは「組織として管理」、
DACは「所有者が管理」という違いがあります。
③ ABAC(属性ベースアクセス制御)との違い
ABACは、
- 部署
- 年齢
- 場所
- 時間帯
などの「属性」を条件にアクセス制御を行います。
DS検定では
「属性」「条件」「時間帯」と書かれていたらABACを疑うのがコツです。
まとめ(試験直前用)
- RBACは「役割」で権限を管理する方式
- ユーザー → ロール → 権限 の構造
- 「ユーザーごとに機能が違う」とあればRBACが第一候補
- 属性条件が出てきたらABAC
- 機密レベルならMAC、所有者管理ならDAC
選択肢を切るときは「何で制御しているか」を見る。
対応スキル項目(データエンジニアリング力シート)
- データ基盤
- セキュリティ
- ★ データのセキュリティ管理の基本的な考え方を理解している
🔗 関連記事
- アクセス制御リスト(ACL)とは?ファイル権限の基本を整理【DS検定】
- 中間層で使用される活性化関数とは?(ReLU・シグモイド・ソフトマックスの違い)【DS検定】
- アジャイル開発とは?ウォーターフォール開発との違いを整理【DS検定】
- 分析アプローチ設計とは?(分析プロジェクトを成功させる設計プロセス)【DS検定】
- 必要なデータ・分析手法・可視化を適切に選択する力とは?【DS検定】