用語集 › 🔒 セキュリティ › ABAC(属性ベースアクセス制御)
【えーばっく】

ABAC(属性ベースアクセス制御) とは?

💡 「誰が、何に、いつ、どこで」の条件でアクセスを判断する
📌 このページのポイント
ABAC:属性ベースアクセス制御 ユーザー属性 役職: マネージャー 部署: 開発部 セキュリティLv: 3 リソース属性 種別: 設計書 機密レベル: 2 所有部署: 開発部 環境属性 時間: 営業時間内 場所: 社内ネット デバイス: 管理端末 ポリシー 判定エンジン ルールに基づき評価 属性を組み合わせて判定 許可 拒否 RBAC: 役割ベース → 固定的 ABAC: 属性ベース → 柔軟 vs
ABAC(属性ベースアクセス制御)の仕組み
ひよこ ひよこ

RBACとどう違うの?

ペンギン先生 ペンギン先生

RBACは「管理者ロール」「閲覧者ロール」のようにロール(役職・役割)でアクセスを決める。シンプルだけど柔軟性に限界がある。ABACは「部署が営業 AND 時間が9-18時 AND 場所が社内」のように複数の属性を組み合わせて判断する。きめ細かい制御ができるよ

ひよこ ひよこ

具体例を教えて

ペンギン先生 ペンギン先生

「医師が、自分の担当患者の、カルテのみ閲覧可能」というルールはRBACだけでは表現しにくいけど、ABACなら「ユーザー.役割=医師 AND リソース.担当医ID=ユーザー.ID AND リソース.種別=カルテ」と条件を書ける。ヘルスケアや金融など、きめ細かいアクセス制御が必要な業界で威力を発揮するよ

ひよこ ひよこ

実装は難しい?

ペンギン先生 ペンギン先生

RBACに比べると設計・運用の複雑度は上がるよ。ポリシーの定義、属性の管理、パフォーマンスの最適化など考えることが多い。実際にはRBACとABACを組み合わせて使うことが多い。まずRBACで大まかな権限を設定し、ABACで追加条件を付与する構成だね

ひよこ ひよこ

ゼロトラストとの関係は?

ペンギン先生 ペンギン先生

ゼロトラストの「すべてのアクセスを都度検証する」原則を実装するにはABACが不可欠だよ。ユーザーの認証状態、デバイスのセキュリティ状態、アクセス元のネットワーク、時間帯…これらの属性を毎回チェックして「信頼できるか」を判断する。ゼロトラストの技術的な心臓部がABACなんだ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「ABAC」って出てきたら「複数の属性の組み合わせでアクセスを制御する方式」と思えればだいたいOK!
📖 おまけ:英語の意味
「Attribute-Based Access Control」 = 属性ベースアクセス制御
💬 RBACの進化形。Attribute(属性)をベースにした、より柔軟なアクセス制御だよ
🔗 あわせて読みたい
← 用語集にもどる