行レベル・セキュリティ

概要

通常、SQL セキュリティは、テーブルまたはビューに対してユーザまたはロールに SELECT 特権を許可することによって制御します。ロールを使用することにより、セキュリティ・ロールの数がユーザの数を大幅に下回る場合にアクセス制御が単純化します。ほとんどの場合、各ユーザがどの行を選択できるかを制御するのにはビューレベル・セキュリティで十分です。ただし、目的の制御を実現するのに必要なビューの数が非常に多くなる場合は、きめ細かいアクセス制御を行うために別の方法が必要となります。

例えば、病院では各患者が患者固有のデータをオンラインで入手できるようにする場合があります。各患者に個別のビューを作成する方法は、実用的ではありません。代わりに、きめ細かいアクセス制御と InterSystems IRIS のロールベースの認証モデルを組み合わせることにより、行レベル・セキュリティでこのタイプのアプリケーションを効率的に、より安全に作成できます。

以下は、行レベル・セキュリティの使用に関する制約です。

• 行レベル・セキュリティは、永続クラスでのみ利用可能です。

• 行レベル・セキュリティは、InterSystems IRIS サーバ上でインスタンス化されたテーブルでのみ利用可能です。リンク・テーブル (つまり、外部サーバ上でインスタンス化されたテーブル) では利用できません。

• 行レベル・セキュリティは、SQL から行にアクセスする際にのみ適用されます。グローバルに直接アクセスする場合、またはオブジェクト・インタフェースを介してグローバルにアクセスする場合には適用されません。

行レベル・セキュリティの設定

テーブルの行レベル・セキュリティを有効にするには、そのテーブルの投影元のクラスの定義を編集します。

1. クラス定義コードでは、ROWLEVELSECURITY の値を 1 に設定します。以下は、その例です。

   ROWLEVELSECURITY = 1;
   

   

   このパラメータの定義は、行レベル・セキュリティが有効であり、このクラスは生成された %READERLIST プロパティを使用して、行へのアクセスが認証されたユーザおよびロールについての情報を格納することを示しています。

   または、パラメータを以下のように定義できます。

   ROWLEVELSECURITY = rlsprop;
   

   

   rlsprop は、同じクラス内のプロパティ名です。この代替手段では、行レベル・セキュリティが有効であり、クラスは指定されたプロパティを使用して、行へのアクセスが認証されたユーザおよびロールに関する情報を格納することを示しています。この場合、次のようにインデックスもクラスに追加します。

   Index %RLI On rlsprop;
   

   

2. %SecurityPolicy() クラス・メソッドを定義します。このクラス・メソッドは、ビューおよびテーブルの SELECT 特権を前提とし、行の選択を許可されているロールおよびユーザ名を指定します。

   %SecurityPolicy() メソッドの構造は以下のとおりです。

   ClassMethod %SecurityPolicy() As %String [ SqlProc ]
   {
       QUIT ""
   }
   

   

   その特性は以下のとおりです。

   • %SecurityPolicy という名前のクラス・メソッドです。

   • 文字列 (タイプ %String) を返します。

   • ゼロ個以上の引数を指定できます。このメソッドに引数がある場合は、各引数がクラス内のプロパティ名と一致する必要があり、すべて互いに異なる必要があります。

   • SqlProc キーワードは、メソッドをストアド・プロシージャとして呼び出すことができることを示します。

   • メソッドの QUIT 文は、行を表示できるユーザまたはロールを返します。複数のユーザまたはロールがある場合、QUIT はそれらの名前をコンマ区切りリストにして返す必要があります。例に示すように、Null 文字列を返す場合は、テーブルで SELECT 特権を持つすべてのユーザが行を表示できることを示します。

   Important:

   %All ロールに割り当てられたユーザには、行レベル・セキュリティによって保護されているテーブルの行に対するアクセス権が自動的には付与されません。%All ユーザがこれらの行にアクセスできるようにするには、%SecurityPolicy() メソッドで明示的にそのアクセス権の付与を指定する必要があります。

3. クラスおよび依存クラス (存在する場合) をコンパイルします。

既存のデータを含むテーブルへの行レベル・セキュリティの追加

行レベル・セキュリティを既存のデータを含むテーブルに追加するには、まず、"行レベル・セキュリティの設定" で説明する手順を実行します。次に、以下の手順を実行します。

1. テーブルのインデックスを再構築します。

2. 各行を表示できるユーザおよびロールを一覧表示するプロパティの値を更新します。

パフォーマンスのヒントおよび情報

%READERLIST プロパティは計算フィールドであり、その値は %SecurityPolicy() メソッドによって決まります。INSERT または UPDATE が実行されるたびに、その行に対して %SecurityPolicy() が呼び出され、%READERLIST の値が自動的に入力されます。

%READERLIST プロパティのコレクション・インデックスが定義され、これにより、クエリ・オプティマイザで使用されて、行レベル・セキュリティが有効になったときのパフォーマンス上の影響を最小化できます。

通常、セキュリティ・ポリシーは複数のコンマ区切りのロールまたはユーザ名を返す可能性があるため、既定では、ROWLEVELSECURITY を 1 に設定すると、コレクション・インデックスは %READERLIST プロパティ (列) に対して定義されます。セキュリティ・ポリシーが複数のユーザまたはロール名を返すことがない場合は、ROWLEVELSECURITY パラメータをオーバーライドし、%RLI インデックスを通常の (非コレクション) ビットマップ・インデックスとして明示的に定義できます。通常は、これによりパフォーマンスが最適化されます。

セキュリティのヒントおよび情報

行レベル・セキュリティを使用する際は、以下のセキュリティ要素に注意してください。

• 行レベル・セキュリティは、テーブルレベル・セキュリティに加えて処理を行います。SELECT、INSERT、UPDATE、または DELETE 文を実行するには、ユーザは該当する行に対してテーブルレベル・アクセスと行レベル・アクセスの両方を許可されている必要があります。

• ユーザ特権は、実行時 (SQL コマンドの実行を試行する際) に動的に確認されます。

• 更新可能なビューを作成し、WITH CHECK OPTION を指定した場合、そのビューの INSERT 処理は、挿入される行が、ビューで指定された WHERE 句を満たすかどうかを確認します。さらに、行レベルのセキュリティを持つテーブルからビューを作成している場合、ビューで SELECT * FROM のコマンドを発行した際、ビューの WHERE 句または暗黙の行レベルのセキュリティ述語により行を表示できないと、INSERT は失敗します。

• 行へアクセスできる場合は、%READERLIST フィールド (または、行を表示できるユーザおよびロールのリストを保持する任意のフィールド) の値を変更できます。これは、行に対する自分自身のアクセス権を直接的または間接的に削除するアクションを実行できることを示します。

• 行の挿入を試みた際に、その挿入が仮に行レベル・セキュリティが定義されていない状態で UNIQUE 制約に違反するようなものであれば、行レベル・セキュリティが有効なことによりたとえ制約のエラーを引き起こす行が更新トランザクションからは参照できないとしても、行の挿入は制約に違反することになります。

関連項目

• ユーザ

• ロール

• インデックスの定義