Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Role-Based Access Controls

David F. Ferraiolo, D. Richard Kuhn|ArXiv.org|Mar 12, 2009
Access Control and Trust参考文献 7被引用数 118
ひとこと要約

この論文は、軍事的でない環境向けに、商用および市民政府システムにおけるディスcretionアセス制御(DAC)の代替手段としてロールベースアクセス制御(RBAC)を提案する。RBACは、個々のユーザーのアイデンティティではなく、ユーザーの役割を中心にアクセス権限を整理することで、スケーラビリティ、管理性、セキュリティの面で優れた効果を発揮し、中央集権的かつポリシー駆動型のアクセス制御モデルを提供する。これは非軍事的環境に適したものである。

ABSTRACT

While Mandatory Access Controls (MAC) are appropriate for multilevel secure military applications, Discretionary Access Controls (DAC) are often perceived as meeting the security processing needs of industry and civilian government. This paper argues that reliance on DAC as the principal method of access control is unfounded and inappropriate for many commercial and civilian government organizations. The paper describes a type of non-discretionary access control - role-based access control (RBAC) - that is more central to the secure processing needs of non-military systems than DAC.

研究の動機と目的

  • 商用および市民政府システムにおけるディスcretionアセス制御(DAC)への一般的な依存を疑問視すること。
  • 大規模な組織において複雑なアクセス制御要件を管理するうえで、DACの限界を特定すること。
  • ロールベースアクセス制御(RBAC)を、非軍事的システムに適したより適切でスケーラブルなアクセス制御モデルとして提案すること。
  • 企業および公共部門の環境における安全で中央集権的なアクセス制御の基盤としてRBACを確立すること。

提案手法

  • ユーザーに直接権限を割り当てるのではなく、役割に権限を割り当てる非ディスcretionアセス制御モデルとしてRBACを定義すること。
  • 組織の役割を中心にアクセス制御を構造化し、ユーザーと権限を分離することで、管理性を向上させること。
  • 権限の伝達を可能にし、重複する権限割り当てを最小限に抑えるために役割の階層構造を導入すること。
  • 役割の割り当て制約を通じて、責任の分離を形式的に定義し、利害の衝突を防ぐこと。
  • 大規模システムにおける集中型ポリシーの実行と監査可能性を、RBACがどのように支援するかを示すこと。
  • RBACをDACおよびMACと比較することで、組織的アクセス制御の文脈におけるその利点を強調すること。

実験結果

リサーチクエスチョン

  • RQ1なぜディスcretionアセス制御(DAC)は、商用および市民政府組織のアクセス制御要件に対して不十分なのであろうか?
  • RQ2大規模かつ複雑な組織において、アクセス制御モデルをどのように構造化すればスケーラビリティと管理性が向上するのであろうか?
  • RQ3ロールベースアクセス制御(RBAC)が非軍事的システムにおけるDACよりも優れた、主なアーキテクチャ的およびポリシー的利点は何か?
  • RQ4RBACは、責任の分離や最小権限の原則といったセキュリティポリシーを、どのように支援するのであろうか?
  • RQ5市民向けシステムにおいて、RBACはマandatoryアセス制御(MAC)と比較して、どのような点で適用可能性と実用性に優れているのであろうか?

主な発見

  • 大規模な非軍事的システムにおいて、RBACはDACよりもスケーラブルで管理しやすいアクセス制御モデルを提供する。
  • 役割の使用により、ユーザーと権限が分離されるため、アクセス制御管理が簡素化され、設定ミスが減少する。
  • RBACにおける役割の階層構造により、効率的な権限の伝達が可能になり、重複する権限の割り当てを減らすことができる。
  • 役割の制約を通じて責任の分離がサポートされるため、不正または矛盾する操作を防ぐのに役立つ。
  • RBACはDACよりも組織の構造とビジネスプロセスに適合しているため、監査性とポリシーの実行が向上する。
  • MACの厳格なラベル付けと分類がしばしば過剰であるのに対し、RBACは市民および商業環境においてより実用的で効果的である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。