Attribute-based access control とは

属性ベースのアクセス制御(ABAC)は、アクセス制御パラダイムを定義します。アクセス制御パラダイムでは、属性を結合するポリシーを使用してユーザーにアクセス権が与えられます。ポリシーは、任意のタイプの属性(ユーザー属性、リソース属性、オブジェクト、環境属性など)を使用できます。このモデルでは、誰が要求、リソース、およびアクションを行っているかについての「IF、THEN」ステートメントがルールに含まれるブール論理をサポートしています。たとえば、リクエスタがマネージャである場合、センシティブなデータへの読み取り/書き込みアクセスが許可されます。
ABACとの主な違いは、複雑なブール・ルール・セットを表現するポリシーのコンセプトに、ロールベースのアクセス制御(RBAC)とは異なり、サブジェクトに割り当てられた特定の特権セットを持つ事前定義されたロールを使用します。さまざまな属性を評価することができます。属性値は、設定値または原子値にすることができます。集合値の属性には、複数の原子値が含まれます。例はロールとプロジェクトです。原子値属性には、1つの原子値のみが含まれます。例はクリアランスと感度です。属性は、静的な値または互いに比較することができるため、リレーションベースのアクセス制御が可能です。
概念自体は長年にわたって存在していましたが、ABACは動的で状況に応じたリスクインテリジェントなアクセス制御をリソースに提供するため、さまざまな情報システムの特定の属性を含むアクセス制御ポリシーを可能にするため、認可を解決し、効率的な規制遵守を達成するために定義されているため、企業は既存のインフラストラクチャに基づいて実装を柔軟に行うことができます。
属性ベースのアクセス制御は、ポリシーベースのアクセス制御(PBAC)またはクレームベースのアクセス制御(CBAC)と呼ばれることがあります。これはMicrosoft特有の用語です。