アクセス制御モデルは権限をどのように管理するかの方式です。RBACやABACなどの違いを整理し、SG試験で問われるアクセス管理の判断ポイントを分かりやすく解説します。

sg sg-security-measures access_control system_architecture

まず結論

アクセス制御モデルとは、誰にどの権限を与えるかを決める方式であり、SG試験では「どの考え方で権限を管理しているか」を見抜くことが重要です。

直感的な説明

アクセス管理では、「誰に何をさせるか」を決めますが、やり方はいくつかあります。

たとえば👇

  • 人ごとに設定する
  • 役職ごとにまとめて設定する
  • 条件によって変える

👉
この「決め方のルール」がアクセス制御モデルです。

定義・仕組み

アクセス制御モデルは、アクセス権限の割り当て方法を体系化したものです。

代表的なモデルは次の4つです。

■ DAC(任意アクセス制御)

  • 所有者が自由に権限を設定する方式

👉 例
ファイルの持ち主が「この人に見せる」と決める

特徴:

  • 柔軟だが管理がばらつく
  • 権限が広がりやすい

■ MAC(強制アクセス制御)

  • 組織のルールに基づいて強制的に制御する方式

👉 例
機密レベル(極秘・秘・公開)でアクセス制御

特徴:

  • 厳格で安全性が高い
  • 柔軟性が低い

■ RBAC(役割ベースアクセス制御)

  • 役割(ロール)ごとに権限をまとめて管理する方式

👉 例
「営業」「経理」などの役割ごとに権限を設定

特徴:

  • 管理しやすい
  • 実務で最もよく使われる

■ ABAC(属性ベースアクセス制御)

  • 利用者や状況の属性でアクセスを制御する方式

👉 例
「平日・社内・上長承認あり」のときだけアクセス可能

特徴:

  • 柔軟で細かい制御が可能
  • 設計が複雑

どんな場面で使う?

■ 使う場面

  • アクセス管理の設計
  • システム導入時の権限設計

👉 SG試験では
「どの方式が適しているか」を問われることがあります。

■ 使うと誤解しやすい場面

  • RBACならすべて解決
    → 状況によってはABACが必要

  • 厳しければ安全
    → 運用できなければ意味がない

よくある誤解・混同

❌ 「RBACとABACは同じ」

→ ⭕

  • RBAC → 役割ベース
  • ABAC → 条件ベース

❌ 「DACが一番安全」

→ ⭕ 自由すぎてリスクがある

❌ 「MACはどこでも使える」

→ ⭕ 厳しすぎて一般業務には不向き

■ SG試験でのひっかけ

  • 「役職ごとに権限を設定」
    → RBAC

  • 「条件によってアクセスを変える」
    → ABAC

  • 「利用者が自由に共有」
    → DAC

👉
“何を基準に制御しているか”で判断する

確認問題(SG試験対策)

次のうち、RBAC(役割ベースアクセス制御)の説明として最も適切なものはどれか。

A. ファイルの所有者が、利用者ごとにアクセス権を自由に設定する方式
B. 利用者の役職や担当業務などの役割ごとに、権限をまとめて割り当てる方式
C. 機密レベルなど、組織が定めたルールに従って強制的にアクセスを制御する方式
D. 利用者の属性、端末、場所、時間などの条件を組み合わせてアクセスを制御する方式

▶ クリックして答えと解説を見る(ここを開く)

正解:B

解説

  • A:DACの説明です。所有者が任意に権限を設定する点が特徴です。
  • B:正解です。RBACは「役割(ロール)」を基準に権限を管理します。
  • C:MACの説明です。組織のルールで強制的に制御します。
  • D:ABACの説明です。属性や状況などの条件を基準にします。

👉 判断ポイント
「役職・担当・ロール」で権限をまとめるならRBACです。

まとめ(試験直前用)

  • アクセス制御モデル=権限の決め方
  • RBAC(役割)・ABAC(条件)・DAC(任意)・MAC(強制)
  • 実務はRBACが中心
  • SGでは「制御の基準」で見分ける
  • キーワードで即判断できるようにする

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る