PBAC（Purpose-Based Access Control）を調べてみた

背景・目的

最近、PBAC（Purpose-Based Access Control）というものを聞きました。
どのようなものか、簡単に調べてみます。

注意：PBACという略称はPolicy-Basedにも使われることがありますが、本記事ではPurpose-Basedを扱います。

まとめ

下記に特徴をまとめます。

特徴	説明
PBACとは	Purpose-Based Access Controlの略
PBACの定義	ユーザーやツールの利用目的に基づいてアクセス可否を決めるデータアクセス制御方式
PBACで可能なこと	多様な目的に対応できるため、データガバナンスチームは高い表現力のあるアクセス制御モデルを設計しやすくなる
ABACとPBAC	両者は性質が異なるが、相互排他的ではない これらのアクセス制御モデルは、動的属性とコンテキスト目的の両方に基づいたアクセス決定を容易にするために同時に実装できる ABAC は識別属性の範囲に基づいてアクセスを許可するのに対して、PBAC はリクエストが行われた定義済みの目的に基づいてアクセスを許可する点が異なる
PBACの代表的なユースケースのひとつ	データ プライバシーに関する多くの法律や規制への準拠を実現すること
ポリシーベースとの違い	Policy-Based Policy-based（ポリシーベース）は、RBACやABACを含む広い概念で、ルール（ポリシー）に基づき、ユーザーの役割や属性でアクセスを判断する。 Purpose-Based 個々のユーザーに焦点を当てるのではなく、アクセスを許可するか拒否するかを決定する特定のデータ使用目的のコンテキストレイヤーを追加する。
PBACによる利点	目的ベースのアクセス制御は、他の形式のアクセス管理よりもシンプルで俊敏でありながら、安全で規制要件に準拠した効果的なデータ アクセス ガバナンス戦略の基盤となる 柔軟性・一貫性・法令順守・監査容易性

概要

What Is Purpose-Based Access Control (PBAC)?

下記を下に整理します。

What Is Purpose-Based Access Control?

Purpose-based access control, which we will refer to as PBAC, is a method of data access control that makes access decisions based on the purpose that a given user or tool intends to use the data for. These purposes can include running a report, performing an audit, creating a new application, and much more. The variety of purposes provides flexibility with which data governance teams can build a high-powered, granular access control model.

• 目的ベースのアクセス制御（PBAC）は、ユーザーやツールの利用目的に基づいてアクセス可否を決めるデータアクセス制御方式
• これらの目的には、レポートの実行、監査の実施、新しいアプリケーションの作成などがある
• 多様な目的に対応できるため、データガバナンスチームは高い表現力のあるアクセス制御モデルを設計しやすくなる

On the spectrum of access control methods, PBAC is closest to its direct forerunner attribute-based access control (ABAC), which determines access based on a range of dynamic attributes specific to individual users, data, and the data environment. The key difference is that ABAC grants access based on this range of identifying attributes, while PBAC grants access based on the defined purpose for which the request is being made. Purpose is determined separately from identity, and it can be applied universally across an organization’s data ecosystem.

• アクセス制御方法の範囲において、PBAC は、個々のユーザー、データ、およびデータ環境に固有のさまざまな動的属性に基づいてアクセスを決定するABACに最も近い
• 主な違いは、ABAC は識別属性の範囲に基づいてアクセスを許可するのに対して、PBAC はリクエストが行われた定義済みの目的に基づいてアクセスを許可する点が異なる
• 目的はIDと独立して扱え、組織のデータエコシステム全体に横断適用できる

That being said, the distinct nature of PBAC and ABAC does not mean they’re mutually exclusive. In fact, these access control models can be implemented simultaneously in order to facilitate access decisions based on both dynamic attributes and contextual purposes.

• PBAC と ABAC の両者は性質が異なるが、相互排他的ではない
• これらのアクセス制御モデルは、動的属性とコンテキスト目的の両方に基づいたアクセス決定を容易にするために同時に実装できる

Why is Purpose-Based Access Control Necessary?

PBAC, as the next step in the evolution of access controls, has merit as an important part of modern data access systems. Not only does it provide more measurable context on which to determine accessibility, but it also gives organizations that extra level of control against risk. Other than the general utility of PBAC, however, why is it so important?

• 現代のデータ アクセス システムの重要な部分としてメリットがある
• 組織にリスクに対する高度な管理レベルを提供する

One of the most popular and relevant use cases for PBAC is achieving compliance with many of today’s data privacy laws and regulations. Most of these regulations, including staples like GDPR and HIPAA, involve purpose clauses that require sensitive data only be collected and used for precise reasons.

• PBAC の最も一般的で関連性の高いユースケースの 1 つは、データ プライバシーに関する多くの法律や規制への準拠を実現すること
• GDPR や HIPAA などの定番規制を含むこれらの規制のほとんどには、機密データは明確な理由でのみ収集および使用することを要求する目的条項が含まれている

For example, the GDPR’s Purpose Limitation Principle states that “Personal data should only be collected and processed for a legitimate specific purpose.” Furthermore, the regulation claims that the specific purpose “should be expressed in an unambiguous, transparent, and simple manner” in order to be compliant.

• 例えば、GDPRの目的制限原則では、"個人データは正当な特定の目的のためにのみ収集および処理されるべきである"と規定されている
• さらに、この規制では、準拠するためには、具体的な目的は「明確で透明性があり、簡潔な方法で表現される必要がある」と主張している

The goal of this clause is to ensure that sensitive information is not being unnecessarily collected, stored, and exposed to risk by organizations that use it. With PBAC, organizations can exhibit the granular, purpose-based control over data access that ensures compliance with these standards.

• この条項の目的は、機密情報を使用する組織が機密情報を不必要に収集、保存し、リスクにさらさないようにすること
• PBAC を使用すると、組織はデータ アクセスに対してきめ細やかで目的に基づいた制御を実施し、これらの標準への準拠を確保できる

Are Purpose-Based and Policy-Based Access Control the Same?

There is another form of contemporary access control that is sometimes referred to as “PBAC”: policy-based access control. It’s important to clarify that, while often referred to by the same acronym, these two access control methods are not the same.

• 現代のアクセス制御には、「PBAC」と呼ばれることもある別の形式、つまりポリシーベースのアクセス制御がある
• これら 2 つのアクセス制御方法は同じではないことを明確にすることが重要

To reiterate the distinction between the two at the control enforcement level:

• Policy-based access control enforces policies on system users, letting these rules determine user access based on the role or attributes/characteristics of the individual.
• Purpose-based access control does not focus on individual users, and instead adds a contextual layer of specific data use purposes that determines whether access is granted or denied.

• Policy-based access control
  • システム ユーザーにポリシーを適用し、これらのルールによって、個人の役割または属性/特性に基づいてユーザー アクセスを決定できるようする
• Purpose-based access control
  • 個々のユーザーに焦点を当てるのではなく、アクセスを許可するか拒否するかを決定する特定のデータ使用目的のコンテキスト レイヤーを追加する

Ultimately, the term “policy-based” is becoming outdated in the face of the evolution of access control models. Since ABAC and its predecessor role-based access control (RBAC) are both policy-based, this terminology is broadened to the point of non-specificity. That is why we use PBAC to discuss access based on purpose, not policy. The policy-based access controls of yesterday are evolving alongside the data they govern and are incorporating more contextual information into access decisions, driving toward a future where purpose is vital.

• アクセス制御モデルの進化により、「ポリシーベース」という用語は時代遅れになりつつある
• ABAC とその前身であるロールベース アクセス制御 (RBAC) はどちらもポリシーベースであるため、この用語は特定性が失われるほど広範囲に使用されている
• 従来のポリシーベースのアクセス制御は、管理するデータとともに進化しており、アクセス決定にさらに多くのコンテキスト情報が組み込まれ、目的が重要になる未来へと向かっていく

How Does Purpose-Based Access Control Add Context in Practice?

Now that we understand what PBAC is (and what it’s not), we can examine how it works in practice.

Let’s imagine that you work for a data governance team at a financial institution. Much of the data you’re collecting from your customers, whether it be credit card numbers or bank account information, is extremely sensitive. This makes it all the more important that this data is kept safe from risk of leak or breach. Using ABAC to determine access will help determine which data users are able to see which information based on their given attributes. But what if an exception needs to be made to a global policy in order to enable data collaboration that would normally be restricted for certain users?

• 金融機関のデータガバナンスチームで働いているとした場合、クレジットカード番号や銀行口座情報など、顧客から収集するデータの多くは極めて機密性の高いものである
• これらのデータが漏洩や侵害のリスクから安全に保護されることがますます重要になっている
• ABACを使用してアクセス権限を決定することで、ユーザーの属性に基づいて、どのデータにどの情報を表示できるかを判断するのに役立つ
• しかし、通常は特定のユーザーに対して制限されているデータのコラボレーションを可能にするために、グローバル ポリシーに例外を設ける必要がある場合はどうなるか

This is where having a purpose-based layer of access control is key. This user, who may not normally have access based on their attributes, could be assigned a specific purpose that alters their permissions. For instance, if they’re part of the organization’s legal team, they probably won’t typically have attribute-based access to credit card transaction data. But if a fraud case requires legal oversight and input, this user could be assigned a “fraud detection” purpose that (in a compliant fashion) grants them access to this information for this specific reason. This purpose could be rescinded after the case was closed, and the data would once again be hidden from this user.

• ここで、目的に基づいたアクセス制御レイヤーを持つことが重要になる
• このユーザーは、通常は属性に基づいてアクセス権を持たない可能性があるが、権限を変更する特定の目的が割り当てられる可能性がある
• たとえば、組織の法務チームに所属している場合、通常はクレジットカード取引データへの属性ベースのアクセス権は付与されない可能性がある
• しかし、詐欺事件に法的な監視と入力が必要な場合は、このユーザーに「詐欺検出」の目的を割り当てて、（準拠した方法で）この特定の理由でこの情報へのアクセスを許可することができる
• この目的は、ケースが終了した後に取り消される可能性があり、データは再びこのユーザーから隠されることになる

How Do I Use PBAC Most Effectively?

As evidenced in this example, PBAC can be extremely effective when applied in tandem with dynamic ABAC. Between ABAC’s flexibility and PBAC’s enhanced context, these two forms of access control can be combined to create a model that is both scalable and secure.

• PBACは動的ABACと併用すると効果的
• ABAC の柔軟性と PBAC の拡張コンテキストの間で、これら 2 つのアクセス制御形式を組み合わせることで、スケーラブルかつ安全なモデルを作成できる

Why you should govern data access through Purpose-Based Access Control

下記を下に整理します。

Although your company’s data may hold tremendous value, you are more likely to drown in a data swamp or become the target of a lawsuit than you are to unlock the data’s potential. That is, unless you have a well thought-out data governance and access strategy! Purpose-based access control (PBAC) can be an important part of your governance solution.

• 企業のデータには非常に大きな価値があるかもしれない、そのデータの潜在能力を引き出すよりも、データの沼に溺れたり、訴訟の標的になったりする可能性のほうが高い
• 綿密に練られたデータガバナンスとアクセス戦略がなければ、それは不可能
• 目的ベースのアクセス制御 (PBAC) は、ガバナンスソリューションの重要な部分となり得る

What are data governance and data access governance?

Data governance is an organisational framework — a collection of procedures, tools, roles, responsibilities, standards and guidelines — that enable effective and efficient use of data within an organisation. Data access governance is the part of data governance concerned with controlling who has access to what data.

• データ ガバナンスは、組織内でのデータの効果的かつ効率的な使用を可能にする組織フレームワーク (手順、ツール、役割、責任、標準、ガイドラインの集合)
• データ アクセス ガバナンスは、誰がどのデータにアクセスできるかを制御することに関係するデータ ガバナンスの一部

Why is data access governance important?

Good data access governance puts you in control of your data, allowing you to keep track who accesses which data and why. Data access governance is a key enabler for good data management, but also a vitally important line of defence against the threat of cyberattacks and data leakage. When dealing with sensitive personally identifiable information (PII), consistent and secure access permissions are also indispensable for compliance with legal data protection requirements.

• 適切なデータ アクセス ガバナンスにより、データの制御が可能になり、誰がどのデータにアクセスしたか、その理由を追跡できるようになる
• データ アクセス ガバナンスは、適切なデータ管理を実現するための重要な要素であるだけでなく、サイバー攻撃やデータ漏洩の脅威に対する極めて重要な防御線でもある
• 機密性の高い個人識別情報 (PII) を扱う場合、法的データ保護要件に準拠するには、一貫性のある安全なアクセス権限も不可欠

What is Purpose-Based Access Control (PBAC)?

Purpose-Based Access Control (PBAC) is a methodology for governing data access where access is granted not to individuals but instead to its applications, that is, to purposes. Users or machines may be allowed to work on multiple purposes, although when accessing data users always do so within the context of a single purpose. A purpose can be the creation of one or more data products, one or more reports, performing an audit, …. Purpose-based permissions may additionally be scoped to certain roles (e.g. data scientist, data engineer, …). Purpose-based access controls are used in governance tools such as Palantir Foundry, but the concept applies more generally.

• 目的ベースのアクセス制御 (PBAC) は、個人ではなくアプリケーション、つまり目的にアクセスを許可するデータ アクセスを管理する方法
• ユーザーまたはマシンは複数の目的で作業することが許可される場合があるが、データにアクセスする場合、ユーザーは常に単一の目的の範囲内でアクセスする
• 目的としては、1 つ以上のデータ製品の作成、1 つ以上のレポートの作成、監査の実行などが挙げられる
• 目的ベースの権限は、さらに特定のロール (データ サイエンティスト、データ エンジニアなど) に限定される場合もある
• 目的ベースのアクセス制御は、Palantir Foundry などのガバナンス ツールで使用されるが、この概念はより一般的に適用される

Benefits of Purpose-Based Access Control

Purpose-based access control can form the basis of an effective data access governance strategy that is secure and in compliance with regulatory requirements, while being simpler and more agile than other forms of access management.

• 目的ベースのアクセス制御は、他の形式のアクセス管理よりもシンプルで俊敏でありながら、安全で規制要件に準拠した効果的なデータ アクセス ガバナンス戦略の基盤となる

• Flexible ⤧. On-boarding and off-boarding of team members is easy, as all access required to work on a purpose is conveniently bundled in the purpose definition.

• フレキシブル
  • 目的に沿った作業に必要なすべてのアクセスが目的の定義に便利にまとめられているため、チーム メンバーのオンボーディングとオフボーディングは簡単

• Consistent 🔃. Because users working on the same purpose in the same role always have the exact same access, you never run into issues where one team member can do something that another team member cannot. Even your processing systems share the same access rights, clearing the path to smooth industrialisation 🏭.

• 一貫性
  • 同じ役割で同じ目的で作業するユーザーは常にまったく同じアクセス権を持つため、あるチーム メンバーが実行できて別のチーム メンバーが実行できないといった問題が発生することはない

• Legal 👨‍⚖️. Purpose limitation, finality, proportionality and data minimisation are cornerstone principles of legal frameworks like GDPR. Likewise, cross-referencing of data without approval can be problematic. PBAC brings the legal and technical closer together by always evaluating access requests in the context of a single purpose — something your DPO will appreciate!

• 法律
  • 目的の限定、最終性、比例性、データの最小化は、GDPRのような法的枠組みの根幹となる原則
  • 同様に、承認なしにデータを相互参照することも問題となる可能性がある
  • PBAC は、アクセス要求を常に単一の目的に基づいて評価することで、法的側面と技術的側面をより緊密に結び付ける

• Auditing 📒. Even basic PBAC audit logs are meaningful and easy to interpret. Moreover, they are not too hard to implement. Log when a purpose is approved for data access and why. Log which users are cleared to work on a purpose and why. For every data access operation, know not only who makes the request, but also for what purpose.

• 監査
  • 基本的なPBAC監査ログであっても、意味があり、解釈が容易
  • さらに、実装もそれほど難しくない
  • データ アクセスの目的が承認された日時とその理由を記録する
  • 特定の目的のために作業することを許可されているユーザーとその理由を記録する
  • すべてのデータ アクセス操作について、誰がリクエストを行ったかだけでなく、その目的も把握する

考察

今回、Purpose-Based Access Controlを整理してみました。今後は実装例など調べてみたいと思います。

参考