NetskopeのLBACとは？LBACで実現する管理者権限の分離について

NetskopeのLBACは、RBACだけでは分けにくい設定オブジェクト単位のアクセス制御を実現する仕組みです。
本ブログでは、部門・子会社ごとの委任管理を例に、LBACの考え方と活用イメージを分かりやすく解説します。

はじめに

前回のブログでは、Netskopeへログインする管理者(Admin)のRoleに関する概要や設定例を紹介しました。
NetskopeのAdmin Role設定とは？管理者権限の確認方法と設定例を紹介

一方で、実際の運用では「機能へのアクセス権は分けられても、同じ機能の中にある設定オブジェクトまできれいに分離したい」という場面があります。

たとえば、子会社ごとにポリシーやPublisherの管理・閲覧範囲を分けたい、特定部門には自部門に関係する設定だけを見せたいといったケースです。

こうした要件を実現させるのが、本ブログでご紹介するRBAC V3の拡張機能のLBAC(Label Based Access Control)機能です。

今回は、LBACの概要や活用ユースケース、どのような設定項目で利用できるのかを中心に整理します。

LBACとは

RBAC(Role Based Access Control)では、たとえば「ポリシーを参照できる」「設定を変更できる」といったように、機能単位と権限レベル単位でアクセスを制御できます。

ただし、それだけでは「同じ機能の中にある一部のオブジェクトだけを見せる」「特定の管理者には特定の設定群だけを操作させる」といった細かい分離には限界があります。

LBAC(Label Based Access Control)はこうした課題を補うための仕組みとなり、RBAC機能単体で設定できる機能単位の権限制御に加えて、設定オブジェクト単位のアクセス制御を実現する仕組みとなり、カスタムロールにラベルを持たせ、あわせて各設定オブジェクトにもラベルを付与することで、ラベルが一致した対象だけにアクセスできるようになります。

こんなときに活用できる（ユースケース）

LBACの活用ユースケースとしては、主に以下の4つが挙げられます。

設定の見分けやすさ向上、整理
⇒部門／拠点／顧客ごとにLabel色分けによる視認性向上
最小権限でのアクセス制御
⇒特定のPolicy Group や Publisherのみ閲覧・編集可能とする制御
部門・子会社ごとの委任管理
⇒1つのNetskope テナントにて複数組織を管理している場合の設定の分離管理・権限の分離
階層型の設定管理
⇒本社共通の設定を上位階層で定義し、各部門・子会社はその設定を利用しつつ、必要な範囲だけ個別管理する運用

たとえば、親会社の共通運用チームと、各子会社の運用担当者が同じ1つのNetskopeテナントを利用している場合、全員がすべてのPrivate AppやPublisher、Policy Groupが見えてしまっている・操作できてしまっている状態というのは、運用負荷や誤操作リスクの面で望ましくありません。

このような環境では、本社側は全体ポリシーや共通設定全体を管理しつつ、子会社側は自社に必要な範囲だけを管理できる形が理想です。LBACでは、子会社A向け、子会社B向けといったラベルを設定オブジェクトに付与し、それぞれの管理者ロールにも対応するラベルを持たせることで、担当範囲を切り分けられます。これにより、子会社Aの担当者が子会社Bの設定を閲覧・編集してしまうことを防ぎやすくなります。