格子ベースアクセスコントロールとは
格子ベースアクセスコントロールとは、一つの主体が複数のアクセス権を持ち得ることを想定し、アクセスコントロールをある条件下で取りえるすべての関係性として考えることです。
一人の従業員に対して一つの権限しか割り当てないのであれば、アクセス制御はとても簡単です。
しかし、現実的には一人の従業員であっても、特定の案件に属している開発部であり労働組合に所属しているなどの複数の組織に属し、グループに応じてアクセス権が与えられます。
そういった場合、少し話がややこしくなります。
格子とは、ある集団から取りえるすべてのグループのパターンをいいます。この格子に則った関係性があるアクセス制御モデルが格子ベースアクセスコントロールです。
もう少し具体的に
ある程度、簡略した説明になりますが、格子とは特定の順序構造を持つ集合のことを指します。この格子ベースアクセスコントロールは、ある従業員が所属している会社の役職を集合として見ることから始まります。
もしも、あなたが開発部と営業部の両方に所属しているなら、その権限は開発部と営業部のグループになります。勿論、会社にはもっとたくさんの役職がありますから、取りえるグループの数はもっと増えていきます。かといって、無限ではありません。すべての役職の権限を持っているようなCEOであっても、取りえるパターンには限りがあるでしょう。
ここで、あなたが開発部のベテランであって、営業部の技術アシスタントとして所属していることを考えてみましょう。開発部に対しては高い権限が与えられていますが、営業部に対しては低い権限が与えられていることになります。
一つ一つの集合の関係性を見てみると、あることに気づきます。あなたは、開発部の強い権限と営業部の弱い権限のグループに所属していますが、暗に開発部の弱い権限と営業部の弱い権限のグループにも所属しています。つまりは、ある集合は、他の小さな集合の性質を引き継いでいます。ここで、ある集合からある集合への辺が引けます。
このように、ある集団から取りえるすべてのグループのパターン状態である頂点として並べ、それらのパターンの間での遷移可能な辺を保持するものと見なしたとき、その間の関係性を整理する事ができます。この格子に則った関係性をアクセス制御モデルにしたものが、格子ベースアクセスコントロールです。
