きめ細かなアクセスコントロール

行または列レベルでテーブル内で動作する認可コントロールを実装するには、きめ細かなアクセスコントロール (FGAC) が必要です。FGAC を使用すると、セキュリティまたはデータベース管理者は、データベーステーブルに対する権限に関係なく、テーブルに対して選択した SQL ステートメントを実行するときに、組織内のさまざまなユーザーが認識する結果セットを制御するようにセキュリティを設定できます。

FGAC には 2 つの形式があります。

• ラベルベースのアクセスコントロール (LBAC) – LBAC は、必須アクセスコントロール (MAC) の実装であり、ユーザーとデータ自体にはそれぞれセキュリティラベル値が明示的に割り当てられます。ユーザーセキュリティラベルとデータセキュリティラベルが交差する部分によって、ユーザーに表示される行と列が決まります。セキュリティラベルの定義は、実装する前に明確にする必要があります。セキュリティラベルが確立されると、ラベルの変更は非常に困難になります。

• 行と列のアクセスコントロール (RCAC) – RCAC は、アクセスルールが定義されている基本的で柔軟な SQL 式の使用に基づいています。RCAC は行権限と列マスクで構成されています。行のアクセス許可は、アクセスできる行のセットを記述する SQL 検索式を使用して実装されます。列マスクは、各列の指定された条件に基づいて表示が許可される列値を記述する SQL CASE式を使用して実装されます。