メインコンテンツへ
セキュリティ

RBACモデル(Role-Based Access Control)に関して、次の状況で最も適切な権限管理の説明はどれか。社員が異動して部署が変わる場合。

ア.旧部署のロールを削除し、新部署のロールをユーザーに直接割り当てなおす
イ.ユーザーに旧部署ロールを解除し新部署ロールを割り当てる。個々の権限リストは変更しない正解
ウ.異動のたびにユーザー個別の権限リストをすべて棚卸しして再設定する
エ.ロール変更に備えて全社員にフルアクセス権限を与えておく

解説

RBACの本質は「役割(ロール)に権限を紐づけて、人はロールに入るだけ」。異動=ロールを付け替えるだけ。権限リストを人ごとに触る必要はない!

なぜ イ が正解か

RBACでは権限管理をロール単位で行う。ユーザーはロールに所属し、ロールが権限を持つ。異動時: ①ユーザーから旧部署ロールを削除。②ユーザーに新部署ロールを割り当て。これだけで旧ロールの権限がなくなり新ロールの権限が付与される。個々の権限リスト(ACL)を変更する必要がない点がRBACの利点。

なぜ ア は間違いか

旧部署のロールを「削除」するのは誤り。そのロールには他の旧部署社員も所属しており、ロール削除は全員の権限を失わせる。削除するのはユーザーとロールの関連付けのみ。

なぜ ウ は間違いか

ユーザー個別の権限を直接管理するのはACLモデルの方法。RBACの利点(管理コスト低減)を放棄している。

なぜ エ は間違いか

フルアクセス権限の付与は最小権限の原則に完全に違反しており、セキュリティリスクが極めて高い。

出典: AI生成問題(学習用)