ロールベースアクセス制御(RBAC)
Role-Based Access Control (RBAC)
ロールベースアクセス制御(RBAC)の包括的ガイド - 実装方法、メリット、課題、そして安全なアクセス管理のためのベストプラクティスを解説します。
ロールベースアクセス制御(RBAC)とは?
ロールベースアクセス制御(RBAC)は、組織内のユーザーの役割に基づいて、認可されたユーザーにシステムアクセスを制限するセキュリティパラダイムです。個々のユーザーに直接権限を割り当てるのではなく、RBACは特定の権限セットと責任をカプセル化するロールを定義することで抽象化レイヤーを作成します。その後、ユーザーは1つ以上のロールに割り当てられ、それらのロールに関連付けられた権限を自動的に継承します。このアプローチは、組織がアクセス権を管理する方法を根本的に変革し、ユーザー中心のモデルからビジネス機能と組織構造にセキュリティポリシーを整合させるロール中心のフレームワークへと移行します。
RBACの概念的基盤は最小権限の原則に基づいており、ユーザーが職務を効果的に遂行するために必要な最小限のアクセスレベルのみを受け取ることを保証します。この方法論は、数百または数千のユーザーが異なるレベルのシステムアクセスを必要とする大規模組織におけるアクセス管理の複雑さを大幅に軽減します。「データベース管理者」、「営業担当者」、「人事マネージャー」などの論理的なロールに権限をグループ化することで、組織は実際の職務責任を反映する標準化されたアクセスパターンを作成できます。ロールベースのアプローチは、管理者が特定の組織機能に関連付けられた権限を迅速に特定し、ユーザーが適切なアクセスレベルを持っていることを検証できるため、監査とコンプライアンス監視も容易にします。
RBACは階層構造で動作し、ロールが他のロールから権限を継承できるため、組織階層と報告構造を反映する洗練されたアクセス制御スキームを作成できます。たとえば、「シニアマネージャー」ロールは「マネージャー」ロールからすべての権限を継承しながら、追加の管理機能を追加する場合があります。この階層設計により、組織は組織の成長に応じて効率的にスケールする詳細なアクセス制御を実装できます。このシステムは、特定のプロジェクトや期間に対してユーザーに一時的なロールを付与できる動的ロール割り当てと、必要に応じてユーザーが特定の高権限ロールを明示的にアクティブ化する必要があるロールアクティベーション制御もサポートしています。最新のRBAC実装は、アイデンティティ管理システム、ディレクトリサービス、シングルサインオンソリューションと統合されることが多く、エンタープライズ環境全体で堅牢なセキュリティ制御を維持しながら、シームレスなユーザーエクスペリエンスを提供します。
RBACの中核コンポーネント
ユーザーは、システムリソースへのアクセスを必要とする個々のエンティティ(人、サービス、またはアプリケーション)を表します。各ユーザーはRBACシステム内で一意のアイデンティティを維持し、複数のロールに同時に割り当てることができます。ユーザーは直接的な権限付与を受けるのではなく、ロール割り当てを通じて権限を継承します。
ロールは、職務機能または組織の責任に対応する権限のコンテナとして機能します。ロールは、関連するアクセス権を論理的な単位にグループ化することで、個々の権限の複雑さを抽象化します。例としては、「会計士」、「プロジェクトマネージャー」、「システム管理者」などがあり、それぞれがこれらの機能に関連する権限を含んでいます。
権限は、読み取り、書き込み、実行、削除操作など、システムリソースに対して実行できる特定のアクションを定義します。権限は詳細なアクセス制御レベルを表し、ユーザーに直接ではなくロールに割り当てられます。これらはシステム内で許可されるアクションの基盤を形成します。
セッションは、認証後にユーザーがシステムと対話するコンテキストを確立します。セッション中、ユーザーは割り当てられたロールのサブセットをアクティブ化でき、現在のタスクに必要な権限のみを有効にすることで最小権限の原則を実装します。セッションは、ロールのアクティブ化と非アクティブ化の時間的境界を提供します。
ロール階層は、ロール間に親子関係を作成し、上位ロールから下位ロールへの権限の継承を可能にします。この構造は組織階層を反映し、自動的な権限継承を可能にすることで管理オーバーヘッドを削減します。上位ロールは通常、下位ロールのすべての権限に加えて追加の特権を含みます。
制約は、ロールの割り当てとアクティブ化を管理するビジネスルールとセキュリティポリシーを実装します。これには、職務分離要件、相互排他ルール、特定のロールのユーザー数を制限する基数制約が含まれます。制約は、RBAC実装が組織のポリシーと規制要件に整合することを保証します。
オブジェクトは、アクセス制御による保護を必要とするリソース、データ、またはシステムコンポーネントを表します。オブジェクトには、ファイル、データベース、アプリケーション、ネットワークリソース、または制御されたアクセスを必要とするその他のシステムエンティティが含まれます。RBACシステムは、ユーザーと保護されたオブジェクト間のすべての相互作用を仲介します。
ロールベースアクセス制御(RBAC)の仕組み
RBACワークフローは、ユーザーがユーザー名とパスワード、デジタル証明書、生体認証データなどの資格情報を提供してシステムへの認証を試みることから始まります。認証システムは、これらの資格情報をユーザーディレクトリまたはアイデンティティストアに対して検証し、ユーザーのアイデンティティを確認します。認証が成功すると、システムはRBACデータベースからユーザーのロール割り当てを取得し、その特定のユーザーアカウントに関連付けられたすべてのロールを識別します。
認証後、システムはセッションを開始し、ユーザーにアクティブ化可能なロールを提示します。実装によっては、ユーザーは割り当てられたすべてのロールを自動的にアクティブ化するか、現在のセッションで有効にするロールを選択的に選択できます。この選択的アクティブ化は、ユーザーが即座のタスクに必要な最小限の権限で動作できるようにすることで、最小権限の原則をサポートします。
ユーザーが特定のリソースへのアクセスまたはアクションの実行を試みると、システムはユーザーの現在アクティブなロールに関連付けられた権限に対してリクエストを評価します。認可エンジンは、アクティブなロールのいずれかが要求された操作に必要な権限を持っているかどうかをチェックします。この評価プロセスは、ロール階層、継承された権限、および適用可能な制約またはビジネスルールを考慮します。
システムは、認可プロセス中に設定された制約を適用します。これには、職務分離ルール、時間ベースの制限、相互排他ポリシーが含まれます。これらの制約は、特定のロールの組み合わせが同時にアクティブになることを防いだり、特定の期間中のアクセスを制限したりする場合があります。制約評価は、組織のポリシーと規制要件へのコンプライアンスを保証します。
認可チェックが成功すると、システムは要求されたリソースへのアクセスを許可し、監査目的でトランザクションをログに記録します。監査ログには通常、ユーザーアイデンティティ、アクティブ化されたロール、要求されたリソース、実行されたアクション、タイムスタンプ、認可決定が含まれます。この包括的なログは、コンプライアンス監視とセキュリティインシデント調査をサポートします。
セッション全体を通じて、ユーザーは必要に応じて追加のロールをアクティブ化または非アクティブ化できますが、ロール割り当てと適用可能な制約に従います。システムは、ロールのアクティブ化を継続的に監視し、タイムアウト期間や同時セッション制限などのセッションベースの制御を実施します。ユーザーが作業を完了するか、セッションが期限切れになると、システムはすべてのロールを非アクティブ化し、セッションを終了します。
ワークフローの例:財務アナリストがエンタープライズシステムにログインし、「財務アナリスト」ロールをアクティブ化して四半期レポートにアクセスします。予算予測を更新する必要がある場合、財務計画システムへの書き込みアクセスを提供する「予算編集者」ロールを一時的にアクティブ化します。更新を完了した後、昇格されたロールを非アクティブ化し、標準のアナリスト権限で作業を続けます。これは、実際の動的なロール管理を示しています。
主な利点
管理の簡素化は、個々のユーザーではなくロールを中心にアクセス制御を集中化することで、ユーザー権限の管理の複雑さを軽減します。管理者はロール権限を一度変更するだけで、そのロールに割り当てられたすべてのユーザーのアクセスを自動的に更新でき、管理オーバーヘッドと設定エラーの可能性を大幅に削減します。
セキュリティ態勢の強化は、最小権限の原則を実装し、システムアクセスに対する詳細な制御を提供することで、組織のセキュリティを強化します。RBACは、ユーザーが職務機能に必要な権限のみを受け取ることを保証することで、不正アクセスのリスクを軽減し、潜在的な攻撃面を最小化し、侵害されたアカウントの影響を制限します。
コンプライアンスの向上は、明確な監査証跡と標準化されたアクセス制御メカニズムを提供することで、規制コンプライアンスを促進します。RBACシステムは、ユーザーアクティビティとロール割り当ての包括的なログを生成し、詳細なアクセス監視とレポートを要求するSOX、HIPAA、GDPRなどの規制へのコンプライアンスをサポートします。
スケーラビリティは、組織の規模と複雑さに応じてスケールするフレームワークを提供することで、組織が成長に応じてアクセス制御を効率的に管理できるようにします。新しいユーザーは適切なロールを割り当てることで迅速にオンボーディングでき、組織の変更は個々のユーザー権限ではなくロール定義を変更することで対応できます。
人的エラーの削減は、事前定義されたロールを通じて権限割り当てを標準化することで、設定ミスを最小化します。この体系的なアプローチは、過剰な権限を誤って付与したり、ユーザーが職位を変更したり組織を離れたりしたときにアクセスを取り消すのを忘れたりする可能性を減らします。
コスト効率は、ユーザー権限を維持するために必要な管理時間と労力を削減することで、アクセス管理の総所有コストを削減します。組織は、手動介入要件を削減する自動化されたロールベースのプロビジョニングおよびデプロビジョニングプロセスを通じて、大幅なコスト削減を実現できます。
柔軟性と適応性は、ロール定義と割り当てを変更することで、組織の変更に迅速に対応する能力を提供します。RBACシステムは、完全なシステム再構成を必要とせずに、再編成、新しいビジネスプロセス、変化するセキュリティ要件に対応できます。
職務分離は、詐欺やエラーを可能にする可能性のある矛盾する権限をユーザーが持つことを防ぐことで、重要なビジネス制御を実施します。たとえば、RBAC制約は、ユーザーが財務取引の開始と承認の両方を可能にするロールを同時に保持できないことを保証できます。
集中ポリシー管理は、集中化されたロールと権限管理を通じて、組織全体でセキュリティポリシーの一貫した適用を可能にします。この集中化により、セキュリティポリシーが均一に実施され、異なるシステムや部門間でのポリシーの不整合のリスクが軽減されます。
監査とレポート機能は、詳細なログとレポート機能を通じて、ユーザーアクセスパターンと権限使用に関する包括的な可視性を提供します。組織は、セキュリティ監視とコンプライアンス要件をサポートするために、ロール割り当て、権限使用、アクセスパターンに関するレポートを生成できます。
一般的なユースケース
エンタープライズリソースプランニング(ERP)システムは、RBACを利用して、職務機能と部門の責任に基づいて財務、人事、運用データへのアクセスを制御します。「買掛金担当者」、「財務管理者」、「人事マネージャー」などの異なるロールは、データの分離を維持しながら、それぞれのモジュールに適切な権限を受け取ります。
医療情報システムは、医療ロールと患者関係に基づいてアクセスを制限することで、患者データを保護し、HIPAAコンプライアンスを確保するためにRBACを実装します。医師、看護師、薬剤師、管理スタッフは、臨床責任と知る必要性の要件に基づいて、電子健康記録への異なるレベルのアクセスを受け取ります。
金融サービスアプリケーションは、厳格な職務分離制御を実装することで、規制コンプライアンスを実施し、詐欺を防止するためにRBACを採用します。取引システム、銀行アプリケーション、投資プラットフォームは、ユーザーが取引実行と決済承認などの矛盾する機能を実行できないことを保証するために、ロールベースの制御を使用します。
クラウドインフラストラクチャ管理は、運用責任とセキュリティ要件に基づいてクラウドリソースとサービスへのアクセスを制御するためにRBACを活用します。クラウドプラットフォームは、「ネットワーク管理者」、「セキュリティアナリスト」、「アプリケーション開発者」などのロールを使用して、仮想マシン、ストレージ、ネットワークコンポーネントへの適切なアクセスを提供します。
文書管理システムは、プロジェクトへの関与とセキュリティクリアランスレベルに基づいて、機密文書と知的財産へのアクセスを制御するためにRBACを適用します。組織は、機密性とバージョン管理要件を維持しながら、特定の文書リポジトリへのアクセスを提供するロールを作成できます。
製造および産業制御システムは、運用ロールと認証要件に基づいて、生産システムと安全上重要な制御へのアクセスを保護するためにRBACを使用します。プラントオペレーター、保守技術者、安全エンジニアは、産業制御システムと監視機器への異なるレベルのアクセスを受け取ります。
教育機関システムは、教育ロールとプライバシー要件に基づいて、学生情報、学業記録、管理システムへのアクセスを管理するためにRBACを実装します。教員、管理者、サポートスタッフは、FERPAコンプライアンスと学業プライバシーを維持しながら、学生データへの適切なアクセスを受け取ります。
政府および防衛システムは、セキュリティクリアランス要件と機密情報へのコンパートメント化されたアクセスを実施するためにRBACを採用します。軍事および民間人員は、セキュリティクリアランスレベル、職務機能、知る必要性の要件に基づいて、システムとデータへのアクセスを受け取ります。
ソフトウェア開発プラットフォームは、プロジェクトロールと開発ライフサイクルステージに基づいて、ソースコードリポジトリ、開発ツール、デプロイメント環境へのアクセスを制御するためにRBACを利用します。開発者、テスター、リリースマネージャーは、コードベースと本番システムへの異なるレベルのアクセスを受け取ります。
顧客関係管理(CRM)システムは、地域責任と組織階層に基づいて、顧客データと販売情報へのアクセスを制御するためにRBACを適用します。営業担当者、マネージャー、サポートスタッフは、データプライバシーと競争上の機密性を維持しながら、顧客記録への適切なアクセスを受け取ります。
RBACと他のアクセス制御モデルの比較
| 特徴 | RBAC | DAC | MAC | ABAC |
|---|---|---|---|---|
| アクセス決定の基準 | ユーザーロールと権限 | オブジェクト所有権と任意の付与 | セキュリティラベルとクリアランスレベル | 動的属性とポリシー |
| 管理オーバーヘッド | 中程度 - ロール管理が必要 | 低 - ユーザーが自身のリソースを制御 | 高 - 集中化されたラベル管理 | 高 - 複雑なポリシー管理 |
| スケーラビリティ | 高 - ロールがユーザーの複雑さを抽象化 | 低 - 個別の権限管理 | 中程度 - ラベル階層により制限 | 非常に高 - ポリシー駆動の決定 |
| 柔軟性 | 中程度 - ロール定義により制約 | 高 - 所有者が完全な制御を持つ | 低 - 厳格なラベルベースの構造 | 非常に高 - 動的属性評価 |
| セキュリティ実施 | ロールベースのポリシーを通じて一貫 | 可変 - ユーザーの決定に依存 | 非常に高 - 強制的な制御 | 高 - ポリシー駆動の実施 |
| 実装の複雑さ | 中程度 - ロール階層設計が必要 | 低 - シンプルな所有権モデル | 高 - セキュリティインフラストラクチャが必要 | 非常に高 - 複雑なポリシーエンジンが必要 |
課題と考慮事項
ロールの爆発は、組織が特定の職務機能に対応するために過度に詳細なロールを作成しすぎると発生し、RBACの利点を無効にする管理の複雑さにつながります。このロールの増殖により、システムの管理と理解が困難になり、効果を維持するために慎重なロール設計と定期的な統合作業が必要になります。
ロールエンジニアリングの複雑さは、組織機能を分析し、ビジネスニーズを正確に反映する適切なロール階層を設計する困難なプロセスを伴います。組織は、効果的なロール構造を作成するために、職務機能、権限要件、ビジネスプロセスを理解するために多大な時間と専門知識を投資する必要があります。
一時的なアクセス要件は、ユーザーが標準のロール定義に適合しないリソースへの一時的または期限付きのアクセスを必要とする場合に課題を提示します。RBACシステムは、セキュリティ制御と監査証跡を維持しながら、プロジェクトベースのアクセス、緊急事態、一時的なロール割り当てに対応する必要があります。
部門横断的なコラボレーションは、ユーザーが協力プロジェクトや部門間のイニシアチブのために主要なロール範囲外のリソースへのアクセスを必要とする場合に複雑になります。組織は、アクセス制御を損なうことなく効果的なコラボレーションを可能にするために、セキュリティ要件とビジネスの柔軟性のバランスを取る必要があります。
ロールメンテナンスのオーバーヘッドは、変化するビジネス要件、組織構造、技術環境に合わせてロール定義を最新の状態に保つために継続的な努力を必要とします。ロールのドリフトを防ぎ、システムの効果を維持するために、定期的なロールレビュー、権限監査、ロール最適化活動が必要です。
継承の複雑さは、階層的なRBAC実装において予期しない権限の組み合わせを作成し、特定のユーザーの有効な権限を理解することを困難にする可能性があります。複雑な継承チェーンは、過剰な権限アクセスやシステム内のユーザーの実際の能力についての混乱につながる可能性があります。
制約実装の課題は、組織がロールベースのアクセスパターンと矛盾する可能性のある複雑なビジネスルールと職務分離要件を実施する必要がある場合に発生します。これらの制約を実装および維持するには、効果を確保するために慎重な計画と継続的な監視が必要です。
統合の困難は、異なるセキュリティモデルと権限構造を持つ可能性のある異種システムとアプリケーション全体にRBACを実装する際に発生します。組織は、多様な技術環境全体で一貫したアクセス制御ポリシーを維持しながら、技術的な統合の課題に対処する必要があります。
パフォーマンスへの影響は、複雑なロール評価と制約チェックがアクセス決定に遅延を導入する可能性がある大規模なRBAC実装で発生する可能性があります。システムアーキテクトは、許容可能なユーザーエクスペリエンスとシステムの応答性を確保するために、セキュリティ要件とパフォーマンスニーズのバランスを取る必要があります。
監査とコンプライアンスの複雑さは、RBACシステムがコンプライアンス目的で分析およびレポートする必要がある大量の監査データを生成するにつれて増加します。組織は、ロールベースのアクセス監視とコンプライアンス検証の複雑さを処理するために、堅牢な監査管理機能と自動化されたレポートツールが必要です。
実装のベストプラクティス
徹底的なロール分析を実施するには、組織機能、職務記述書、ビジネスプロセスを体系的に調査して、自然なロールの境界と権限要件を特定します。この分析には、アクセスニーズとビジネスワークフローの包括的な理解を確保するために、すべての部門の関係者を関与させる必要があります。
階層的なロール構造を設計して、組織階層を反映し、不必要な複雑さを回避しながら効率的な権限継承を可能にします。ロール間に明確な親子関係を作成し、継承パターンを文書化して、管理者が有効な権限を理解し、システムを効果的に管理できるようにします。
最小権限の原則を実装するには、必要な職務機能を実行するために必要な最小限の権限のみをロールに付与します。時間の経過とともに蓄積された、またはビジネス要件の変化により陳腐化した不要なアクセス権を特定して削除するために、ロール権限を定期的にレビューおよび監査します。
明確なロール命名規則を確立するには、ロールの目的と範囲を明確に示す説明的でビジネス指向の名前を使用します。技術的な専門用語を避け、アクセス制御の決定を理解する必要がある技術管理者とビジネス関係者の両方にとってロール名が意味のあるものであることを確認します。
包括的なドキュメントを作成して、ロール定義、権限マッピング、ビジネス正当化、承認プロセスを含めます。監査活動、コンプライアンスレポート、新しい管理者への知識移転、またはシステム移行中をサポートする最新のドキュメントを維持します。
自動化されたプロビジョニングとデプロビジョニングプロセスを実装して、人事システムとアイデンティティ管理プラットフォームと統合し、タイムリーなロール割り当てと削除を確保します。自動化により、手動エラーが削減され、組織全体でアクセス制御ポリシーの一貫した適用が保証されます。
定期的なレビューサイクルを確立して、ロール割り当て、権限、アクセスパターンをレビューし、ロールのドリフト、不要な権限、変化するビジネス要件を特定して対処します。ロール割り当てが適切かつ必要であることを検証するために、ビジネス関係者を含む定期的なアクセスレビューをスケジュールします。
柔軟な制約メカニズムを設計して、管理負担を作成することなく、複雑なビジネスルールと職務分離要件に対応できるようにします。セキュリティとコンプライアンスの目標を維持しながら、ビジネス要件の変化に応じて簡単に変更できる制約を実装します。
例外処理を計画するには、通常のRBAC制御をバイパスする必要がある緊急アクセス、一時的な権限、ブレークグラスシナリオを管理するためのプロセスを作成します。例外プロセスには、セキュリティの説明責任を維持するために、適切な承認、時間制限、監査証跡が含まれることを確認します。
アイデンティティ管理システムと統合して、既存のユーザーディレクトリ、認証システム、アイデンティティライフサイクル管理プロセスを活用します。この統合により、セキュリティシステム全体で一貫性が確保され、ユーザーエクスペリエンスとセキュリティ態勢を改善しながら管理オーバーヘッドが削減されます。
高度な技術
動的ロール割り当ては、場所、時間、デバイス特性、リスク評価などのコンテキスト情報を利用して、現在の条件に基づいてユーザーロールを自動的に割り当てまたは変更します。このアプローチは、ユーザーの生産性とシステムの柔軟性を維持しながら、変化する状況にアクセス制御を適応させることでセキュリティを強化します。
属性ベースのロール強化は、従来のRBACと属性ベースのアクセス制御(ABAC)要素を組み合わせて、より詳細で柔軟なアクセス決定を作成します。このハイブリッドアプローチは、ユーザー属性、リソース特性、環境要因を活用して、ロールベースの権限を洗練し、より洗練されたアクセス制御ポリシーを可能にします。
機械学習駆動のロール最適化は、人工知能と機械学習アルゴリズムを使用して、アクセスパターンを分析し、ロール最適化の機会を特定し、異常な動作を検出します。これらのシステムは、ロールの統合を推奨し、未使用の権限を特定し、ユーザー行動分析に基づいて潜在的なセキュリティリスクにフラグを立てることができます。
リスクベースのロールアクティベーションは、ユーザー行動、アクセスパターン、環境条件などの要因を考慮して計算されたリスクスコアに基づいて、適応認証とロールアクティベーションを実装します。高リスクのシナリオでは、潜在的なセキュリティ露出を減らすために、追加の認証要素が必要になるか、ロールアクティベーションが制限される場合があります。
フェデレーテッドRBACは、フェデレーションプロトコルと信頼関係を通じて、組織の境界とクラウド環境全体にロールベースのアクセス制御を拡張します。このアプローチは、各参加組織内でロール定義とアクセスポリシーに対するローカル制御を維持しながら、安全なコラボレーションとリソース共有を可能にします。
ブロックチェーンベースのロール管理は、分散台帳技術を活用して、ロール割り当てとアクセス決定の不変の監査証跡を作成し、複数の組織またはシステム全体で分散型ロール管理を可能にします。このアプローチは、セキュリティと説明責任を維持しながら、マルチパーティアクセス制御シナリオにおける信頼と透明性を強化します。
今後の方向性
ゼロトラストの統合は、ユーザーの場所やネットワーク位置に関係なく、すべてのアクセスリクエストを検証するゼロトラストセキュリティアーキテクチャの基本コンポーネントとして、RBACをますます組み込むようになります。この統合により、変化するリスク条件に適応する継続的な認証と認可メカニズムでロールベースの制御が強化されます。
人工知能の強化は、AI駆動のロールマイニング、自動化されたポリシー生成、インテリジェントなアクセス推奨を通じてRBACシステムを変革します。機械学習アルゴリズムは、組織データを分析して最適なロール構造を提案し、潜在的なセキュリティリスクやコンプライアンス違反をリアルタイムで特定します。
クラウドネイティブRBACは、コンテナ化されたアプリケーション、マイクロサービスアーキテクチャ、サーバーレスコンピューティング環境の独自の課題に対処するために進化します。これらのシステムは、パフォーマンスとスケーラビリティの要件を維持しながら、一時的なリソースと動的なインフラストラクチャに対する詳細なアクセス制御を提供します。
プライバシー保護アクセス制御は、準同型暗号化やセキュアマルチパーティ計算などの高度な暗号技術を組み込んで、機密性の高いユーザーやリソース情報を公開することなくロールベースのアクセス決定を可能にします。これらのアプローチは、効果的なアクセス制御機能を維持しながら、プライバシー規制をサポートします。
量子耐性セキュリティは、量子コンピューティングの進歩によってもたらされるセキュリティの課題に対処するためにRBACシステムを適応させます。この進化には、量子耐性暗号アルゴリズムと、量子ベースの攻撃に対して効果的なままである安全なロール割り当てと認証への新しいアプローチが含まれます。
拡張現実(XR)の統合は、従来のアクセス制御パラダイムが適用されない可能性がある仮想現実および拡張現実環境にRBACの概念を拡張します。これらのシステムは、セキュリティとユーザーエクスペリエンスの要件を維持しながら、空間権限、仮想オブジェクトアクセス、没入型コラボレーションシナリオに対処する必要があります。
参考文献
National Institute of Standards and Technology. (2004). Role Based Access Control (RBAC) and Role Based Security. NIST Special Publication 800-95. https://csrc.nist.gov/publications/detail/sp/800-95/final
Sandhu, R., Coynek, E. J., Feinsteink, H. L., & Youmank, C. E. (1996). Role-Based Access Control Models. IEEE Computer, 29(2), 38-47.
Ferraiolo, D. F., Sandhu, R., Gavrila, S., Kuhn, D. R., & Chandramouli, R. (2001). Proposed NIST Standard for Role-Based Access Control. ACM Transactions on Information and System Security, 4(3), 224-274.
American National Standards Institute. (2012). Role Based Access Control (ANSI INCITS 359-2012). Information Technology Industry Council.
Kuhn, D. R., Coyne, E. J., & Weil, T. R. (2010). Adding Attributes to Role-Based Access Control. IEEE Computer, 43(6), 79-81.
Jin, X., Krishnan, R., & Sandhu, R. (2012). A Unified Attribute-Based Access Control Model Covering DAC, MAC and RBAC. IFIP Annual Conference on Data and Applications Security and Privacy, 41-55.
Hu, V. C., Ferraiolo, D., Kuhn, R., Schnitzer, A., Sandlin, K., Miller, R., & Scarfone, K. (2014). Guide to Attribute Based Access Control (ABAC) Definition and Considerations. NIST Special Publication 800-162.
Basin, D., Doser, J., & Lodderstedt, T. (2006). Model Driven Security: From UML Models to Access Control Infrastructures. ACM Transactions on Software Engineering and Methodology, 15(1), 39-91.
