ロールベースアクセス制御(RBAC)は、ユーザーに直接権限を付与するのではなく、役割(ロール)に権限をまとめ、ユーザーはロールに紐付けてアクセス権を管理する方式です。たとえば「管理者」「分析者」「閲覧者」のようなロールを用意し、ロールごとに参照・更新・削除などの操作権限を定義します。人の入れ替わりがあってもロール付与を変えるだけで済むため、権限管理の運用負荷を下げやすいです。
実務では、最小権限の原則にもとづき、業務上必要な権限だけをロールに付ける設計が重要になります。ロールが増えすぎると管理が破綻しやすいので、共通ロールを基本にしつつ、例外は期間限定ロールや追加権限で扱う運用が現実的です。データ基盤では、データセット単位だけでなく、カラムや行レベルの制御が必要になる場面があり、RBACとABAC(属性ベース)を組み合わせる設計もあります。
つまずきやすいのは、ロールの定義が業務とずれて「結局個別付与が増える」状態になることです。入退社や異動、兼務を前提に、ロールの割り当てルール、承認フロー、棚卸し(定期レビュー)を決めると、権限が膨張しにくくなります。監査の観点では、誰がいつどのロールを付与・変更したかのログと、権限変更の変更管理を残しておくことが欠かせません。
