職務とアクセスレベルの分離

1）目標と原則

• 重要な業務（money/PII/compliance）に対する単一の制御を除外し、
• 詐欺/エラーのリスクを軽減し、
• 規制当局と内部監査の検証性を確保します。

原則：Zero Trust・Lest Privilege・Need-to-Know・SoD （4-eyes）・Traceability・Revocability（クイックリコール）。

2）データ分類とアクセスレベル

3）権利モデル： RBAC+ABAC

RBAC：ドメイン別の役割（サポート、VIP、支払い、AML、 KYC、 FRM、 BI、 DevOps、 DPO、 Legal）。
ABAC：コンテキストアトリビュート（環境、地理、データクラス、デバイス/MDM、時間、KYCレベル、アクセス対象の「目的」、デバイスリスク）。

ABAC条件の例：BIアナリストはPIIなしでのみ_'イベントを読むことができます。

4） SoD-互換性のない関数の行列

5）アクセスレベルとタイプ

読み取り専用/マスク読み取り：BI/サポートのデフォルト。
スコープ書き込み：サービス/プロシージャ内の変更（例：ケースノートを入力します）。
特権管理者：PAM（パスワードセーフ、セッションプロキシ、セッション録画、シークレットローテーション）のみ。
API/サービスアカウント：最小オスプレイ、統合ごとの個々のキー、mTLS。

6） JITブレイクガラス

JIT（ジャストインタイム）：特定のチケットの一時的な標高（15-120分）、自動リコール、必須の「目的」。
ブレイクガラス：MFA+2番目の確認による緊急アクセス、セッション録音、セキュリティ+DPOポストレビュー、違反の場合のインシデントの自動作成。

7）プロセス（SOP）

7.1アクセスの要求/変更（IDM/ITSM）

1.「目的」、日付およびデータ所有者との要求。
2.SoD/データクラス/管轄をセルフチェックします。
3.ドメイン所有者の承認+セキュリティ（制限付き+用）。
4.JIT/永久アクセス（最小スコープ）の発行。
5.権利登録（改訂日、SLAの失効）にエントリーします。

7.2権利の再認証

四半期ごとに所有者がグループ/ユーザーの権利を確認します。
自動未使用権（>30/60日）。

7.3データエクスポート

承認された表示例/パイプラインを通してだけ；宛先/フォーマットのデフォルトのマスキングのホワイトリスト；署名/ハッシュ；ログをダウンロードします。

8）ベンダー/パートナー管理

個々のB2Bテナント、最小のAPIスコープ、allow-list IP、タイムウィンドウ。
DPA/SLA：アクセスログ、保存期間、地理、インシデント、サブプロセッサ。
オフボーディング：キーリコール、削除の確認、閉鎖行為。

9）セキュリティとコンプライアンスの統合

監査証跡：'READ_PII'、 'EXPORT_DATA'、 'ROLE_UPDATE'、 'PAYMENT_APPROVE'、 'BREAK_GLASS'。
SIEM/SOAR：「目的」なしで異常なボリューム/アクセスのアラート/ウィンドウ/ジオアウト。
GDPR/AML/PCI： Need-to-Know、 DSAR互換性、支払い境界分離、雑誌のWORM。

10）サンプルポリシー（フラグメント）

10.1 VIPマネージャーポリシー

マスク付きプロフィールビュー、輸出禁止、チケット経由で単一のKYCビューへのJIT。

10.2マーケティングアナリスト向けポリシー

PIIのないユニットのみ。労働時間の間に、MDM装置からの同意（CMPフラグ）とのアクセス。

10.3疑似ヤムルABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11） RACI

12）メトリクスとKRI/KPI

ABACの適用範囲：属性規則に基づくクリティカルセットの95％を≥します。
JITレート：標高の≥ 80％がJITです。
オフボーディングTTR：解雇/無効化の瞬間から15分間≤アクセスの取り消し。
「目的」のない異常なアクセス：=0 （KRI）。
四半期ごとの再認証：100％の役割/グループが確認されました。
輸出コンプライアンス：輸出の100％が署名/記録されています。

13）チェックリスト

13.1アクセスを許可する前に

• 'purpose'定義、日付、データ所有者
• SoD/管轄/データクラスの検証が渡されました
• 最小スコープ+マスキングが有効
• MFA/MDM/ネットワーク条件を満たす
• 雑誌および改訂日の設定

13.2四半期ごとの監査

• 組織構造に対するグループ/役割のチェック
• 未使用権の取り消し
• 壊れ目ガラスおよび主要な輸出を点検して下さい
• トレーニングの確認（プライバシー/セキュリティ）

14）典型的なシナリオと対策

A）エンジニアはprod-DBへの一時的なアクセスを必要とします

JIT 30-60分、PAM経由でセッションを記録、ポストレビュー、違反のためのCAPA。

B）新しいアフィリエイトは、プレイヤーにアンロードするように求めます

集計のみ/匿名化；PII-契約、法的根拠、フィールドのホワイトリスト、ジャーナル/署名、限られた参照期間。

C） VIPマネージャーはKYCドキュメントを見たい

直接アクセスの禁止。AML/KYCによるリクエスト、JITによる単一の問題、フィールドのフルログ。

15）実装ロードマップ

週1-2：システム/データインベントリ、分類、ベースラインRBACマトリックス、プライマリSoDテーブル。
週3-4： ABAC （environment/geo/class/MDM）実装、JITおよびブレークガラス、PAM起動、エクスポートログ。
月2： CMC/支払い境界セグメンテーション、個々のキー/KMS、 SoD/ABAC違反のSOARアラート。
月3+：四半期ごとの再認証、属性拡張（デバイスリスク/時間）、マスキングオートメーション、通常の卓上演習。

TL；DRについて

信頼できるアクセスモデル=データ分類→RBAC+ABAC→SoD 4-eyes→JIT/PAMとハード監査→定期的な再認証と輸出管理。これにより、虐待の可能性が低減され、監査/規制チェックの通過が高速化されます。