アクセス管理 | 用語解説

🔖 キーワード索引

認証認可IDパスワードMFAロールRBAC最小権限シングルサインオン監査ログ

別名・略称：（なし）

💡 30秒で分かる結論

アクセス管理（Access Management）：誰が何にアクセスできるかを制御する仕組み

アクセス管理＝誰が（認証）何を（認可）できるかを制御する仕組み。
認証 Authentication：本人確認（ID＋パスワード、 MFA、生体）。
認可 Authorization：認証済みの人に「何をしてよいか」を割り当てる。
最小権限の原則：業務に必要な最小限の権限だけを付与。
個人情報・機密データを扱うシステムでは必須。監査ログとセットで運用。

📍 あなたが今見ているもの

データサイエンスの現場では、 個人情報を含むデータ を扱う場面が多々あります。 SSDSE 都道府県データは公開データですが、顧客データや医療データなどは誰がアクセスできるかを厳密に管理しないと法令違反（個人情報保護法、 GDPR）になります。アクセス管理はその基礎技術です。

🎨 直感で掴む

認証と認可の違い

概念	英語	質問
認証	Authentication (AuthN)	「あなたは誰？」
認可	Authorization (AuthZ)	「あなたは何ができる？」

アクセス制御モデル

DAC（任意アクセス制御）：所有者が決める
MAC（強制アクセス制御）：システム/管理者が一括で決める
RBAC（ロールベース）：役割に応じて権限。最も普及
ABAC（属性ベース）：時刻・場所・端末等の属性で動的判定

📐 定義 / 数式

アクセス管理は概念的な仕組みで、数式というよりロジックです。

【アクセス判定】

$$\text{Allow}(u, r, o) = \text{AuthN}(u) \land \text{AuthZ}(u, r, o)$$

ユーザ $u$ がリソース $o$ にアクション $r$ を実行できるのは、認証済みかつ認可されている場合のみ

🔬 記号・式を言葉で読み解く

認証要素: 知識（パスワード）、所持（端末・トークン）、生体（指紋・顔）。 2つ以上を組み合わせると MFA。
ロール: 「管理者」「閲覧者」「編集者」など、権限の塊。役職や業務に対応。
ポリシー: 「営業時間外はアクセス不可」「社内ネットからのみ」などの条件。
監査ログ: 誰がいつ何にアクセスしたかの記録。事故時の追跡に必須。

🧮 実データで計算してみる

データサイエンスチームでの典型例：

ロール	読み取り	書き込み	削除	管理
データ管理者	○	○	○	○
分析者	○	△（一時テーブル）	×	×
レポート閲覧者	○（集計のみ）	×	×	×

🐍 Python 実装

SSDSE-B-2026（47 都道府県・2023 年データ）を題材にした最小コード：

# 簡単なロールベースアクセス制御の例
ROLES = {
    'admin': {'read', 'write', 'delete', 'manage'},
    'analyst': {'read', 'write'},
    'viewer': {'read'},
}

def can(role, action):
    return action in ROLES.get(role, set())

print(can('analyst', 'read'))    # True
print(can('viewer', 'delete'))   # False

⚠️ よくある落とし穴

⚠️ デフォルト権限が広すぎる

新規ユーザに「管理者」を付ける運用は危険。最小権限で始める。

⚠️ 退職者アカウントを放置

アクセス権削除を忘れて、元従業員が機密にアクセスし続けるリスク。

⚠️ パスワードの平文保存

DB に平文で保存は厳禁。必ずハッシュ化（bcrypt 等）。

⚠️ MFA を導入しない

パスワードだけは現代では不十分。 SMS でも何もないよりマシ。

⚠️ 監査ログを取らない

事故が起きても誰がやったか追跡できない。

🌐 関連手法・この用語を使う論文

📄 個人情報を扱う論文

アクセス管理は研究データの取り扱い全般の前提となります。