目次

同じカテゴリの用語

• MAC (Mandatory Access Control)（マック）
• DAC (Discretionary Access Control)（ダック）

RBAC（アールバック）

英語表記: RBAC (Role-Based Access Control)

概要

RBAC（ロールベース・アクセス制御）は、ユーザーの個々の識別情報ではなく、そのユーザーに割り当てられた「役割（ロール）」に基づいて、システムリソースへのアクセス権限を決定するアクセス制御モデルです。これは、OSが管理するファイル、メモリ領域、デバイスといった重要なリソースを保護するための基本的なセキュリティ機構の一つとして機能します。特に大規模なOS環境において、権限管理の複雑さを大幅に軽減し、セキュリティポリシーの一貫した適用を可能にする、非常に重要な仕組みです。

詳細解説

OSセキュリティ機構におけるRBACの役割

RBACは、私たちが現在学んでいる「OSの基本機能（プロセス管理, メモリ管理） → OS セキュリティ機構 → アクセス制御」という文脈の中で、中心的な役割を果たします。OSがプロセスやユーザーからのリソースアクセス要求を受けた際、その要求を許可するか拒否するかを判断する際に参照されるのが、このRBACの仕組みです。

目的と必要性

従来のアクセス制御方式（例：DAC）では、ユーザー一人ひとりに権限を設定する必要がありましたが、ユーザー数が増えるとその管理が非常に煩雑になります。RBACを導入する最大の目的は、この管理コストを削減し、セキュリティ設定の整合性を保つことです。OS環境では、システム管理者、一般ユーザー、ゲストなど、明確な役割が存在します。これらの役割に対して一括で必要な権限を付与することで、管理者は「誰が何にアクセスできるか」ではなく、「この役割は何ができるべきか」という視点でセキュリティを設計できます。

主要な構成要素

RBACは主に以下の三つの要素で構成されています。これらがOSのセキュリティサブシステム内で連携して動作します。

1. ユーザー (User): OSを利用する個人やプロセスです。
2. ロール (Role): 職務や責任に応じて定義された役割の集合体です（例：システム管理者、開発者、一般社員）。ユーザーは一つ以上のロールを割り当てられます。
3. 権限（パーミッション/Privilege): 特定のリソース（ファイルへの読み書き、特定のシステムコール実行、メモリ領域の確保など）に対して行える具体的な操作です。

動作の仕組み（アクセス制御の流れ）

OSカーネル内でのアクセス制御は、以下のステップで実行されます。

1. ユーザー（またはユーザーが実行するプロセス）が、特定のOSリソース（例：設定ファイルX）へのアクセスを試みます。
2. OSのセキュリティ機構は、まずそのユーザーに現在割り当てられているロールを確認します。
3. 次に、そのロールに対して、設定ファイルXへのアクセスを許可する権限が紐づけられているかを確認します。
4. 権限が確認できた場合のみ、アクセスが許可されます。

この仕組みにより、権限はユーザー個人ではなくロールに依存するため、人事異動などでユーザーが変わっても、ロールの割り当てを変更するだけで、権限の付与や剥奪が迅速かつ確実に行えます。これは、セキュリティ機構が常に最新の状態を保ち、最小権限の原則（後述）を効果的に適用するために不可欠です。

OSの基本機能との連携

RBACは、単なるアクセス制限に留まりません。OSの基本機能である「プロセス管理」や「メモリ管理」と密接に連携しています。例えば、特定のプロセスが特権メモリ領域にアクセスしようとした場合、そのプロセスを実行しているユーザーが「システム管理者」ロールを持っているか（すなわち、特権を持つロールを介して該当メモリ領域へのアクセス権限を持っているか）をRBAC機構が判定します。これにより、OSの安定性とセキュリティが同時に確保されているわけです。

具体例・活用シーン

RBACは、皆さんが日常的に利用するOS（Windows、macOS、Linuxなど）の内部で常に活用されています。

1. 標準的なOSロール

• Linux/Unix系: root (スーパーユーザー/システム管理者), standard user (一般ユーザー), daemon (システムサービス用ユーザー)。それぞれのロールが、システムファイルへの書き込み権限や、特定のネットワークポートを開く権限など、明確に異なる権限セットを持っています。
• Windows: Administrator (管理者), Standard User (標準ユーザー), Guest (ゲスト)。管理者ロールだけが、システム設定の変更や新しいソフトウェアのインストールが許可されています。

2. 具体的な活用シーン（仮想化環境）

クラウド環境や仮想化環境を管理するOSでは、セキュリティが特に重要です。例えば、大規模なデータセンターのOS管理において、以下のようなロールを定義します。

• セキュリティ監査ロール: ログファイルの閲覧権限のみを持ち、設定変更権限は持たない。
• ネットワーク運用ロール: ネットワーク設定ファイルへの読み書き権限を持つが、基幹システムのデータ領域へのアクセス権限は持たない。
• データベース管理者ロール: DBプロセス管理権限を持つが、OSのカーネル設定ファイルへのアクセス権限は持たない。

このように細分化することで、万が一、あるロールを持つアカウントが侵害されても、被害範囲を限定できるのです。

3. アナロジー：職場の鍵とIDカード

RBACの仕組みを理解するための良いメタファーは、「職場の鍵とIDカード」です。

あなたが新しい会社に入社したと想像してください。会社はあなた個人（ユーザー）に、部署名が書かれたIDカード（ロール）を渡します。

• もしあなたが「経理部員」というロール（IDカード）を与えられたなら、そのカードは「経理部の金庫室の鍵」や「給与システムへのアクセス権」といった権限を自動的に付与します。
• あなたが「営業部員」というロールを与えられたなら、そのカードは「顧客情報データベースへのアクセス権」や「営業会議室の鍵」を付与します。

会社がもし新しい金庫室（新しいOSリソース）を設置した場合、会社（管理者）は「経理部員」のロールにその新しい金庫室の鍵を追加するだけで済みます。社員一人ひとりに新しい鍵を配る必要はありません。これがRBACの最大の利点であり、OSのセキュリティ管理において非常に効率的な方法である理由です。

資格試験向けチェックポイント

IT資格試験、特にITパスポートや基本情報技術者試験では、アクセス制御の基本概念としてRBACが出題される頻度が非常に高いです。

• 最小権限の原則との関連: RBACは、「業務遂行に必要な最小限の権限のみを付与する」という最小権限の原則（Principle of Least Privilege）を組織的に実現するための最も効果的な手段である、という点を理解しておきましょう。試験では、この原則とRBACを結びつけた問題が出やすいです。
• 他のアクセス制御モデルとの比較: RBACは、DAC（Discretionary Access Control：任意アクセス制御）やMAC（Mandatory Access Control：強制アクセス制御）と対比されます。
  • DAC: 資源の所有者がアクセス権限を自由に設定できる方式（柔軟だが管理が複雑化しやすい）。
  • MAC: システム全体で厳格なセキュリティレベルに基づきアクセスを強制する方式（高セキュリティだが運用が硬直化しやすい）。
  • RBAC: 運用管理の容易さとセキュリティのバランスが取れているため、現代のOSやエンタープライズシステムで最も広く採用されている方式である、と覚えておくと良いでしょう。
• 構成要素の理解: 「ユーザー」「ロール」「権限」の関係性、特に「権限はロールに付与され、ロールはユーザーに割り当てられる」という階層構造を問う問題が出題されます。
• 出題文のキーワード: 「職務」「役割」「管理の容易性」「権限の一元管理」といったキーワードがRBACを指し示している可能性が高いです。

関連用語

• 情報不足
  • 補足情報として含めるべき用語の候補: DAC (Discretionary Access Control), MAC (Mandatory Access Control), 最小権限の原則 (Principle of Least Privilege), アクセス制御リスト (ACL)。これらの用語は、RBACをアクセス制御全体の文脈で理解するために不可欠です。