認可は、認証で「誰であるか」を確認したあとに、その利用者やシステムが「何にアクセスできるか」「どの操作を許可するか」を決める仕組みです。たとえば同じBIツールを使っていても、閲覧できるデータセットやダウンロード可否、管理画面へのアクセス権限が人によって違うのは、認可の設定で制御しているからです。
実務では、最小権限の原則に沿って、役割(ロール)や属性にもとづいて権限を付ける設計が基本になります。RBAC(Role-Based Access Control)は職種や役割で権限をまとめて管理しやすく、ABAC(Attribute-Based Access Control)は部門・雇用形態・データ分類などの属性で細かく制御しやすい点が特徴です。データ基盤では、テーブル単位だけでなく、行や列レベルの制御、マスキング、共有リンクの制限なども認可の範囲に入ります。
運用で問題になりやすいのは、権限の増殖と棚卸し不足で、退職者の権限が残る、異動後も過去部門のデータが見える、といった状態が起こりがちです。監査対応では「誰が、いつ、どの権限を付与され、どのデータにアクセスしたか」を説明できることが重要になるため、申請・承認・付与・剥奪のプロセスと監査ログをセットで整える必要があります。認可を安定運用するには、データ分類と役割定義を先に固め、例外対応を減らす設計に寄せるのが現場では効きます。
