ガイド
2026年6月4日
Just-in-Time Database Access
データベースアクセスを要求に応じて付与し、自動的に失効させる
常時のデータベースアクセスが招くもの
アクセスが消えない
1 つのタスクのために付与されたアクセスが、数か月にわたって残ります。権限が積み重なり、誰が何を持っているか誰も覚えておらず、攻撃対象は今使われている数件ではなく、これまで発行されたすべての認証情報になります。
共有認証情報、帰属なし
チームが `admin@prod` を共有すると、すべてのクエリが追跡不能になります。監査人が誰が破壊的なステートメントを実行したかを尋ねても、正直な答えは「チームの誰でも」です。
アクセス要求がチケットで滞る
データベースに入るには、チケット、Slack のスレッド、そして待ち時間が必要です。開発者はブロックされ、DBA はボトルネックになり、回避策は「念のため」の過剰な付与になります。
Bytebase がアクセスをジャストインタイムで付与する方法
要求し、承認し、失効する
アクセスは、特定のデータベース、特定の理由、限定された期間に対して発行され、期間が終わると自動的に取り消されます。
セルフサービスの要求
開発者は製品内で、理由と期間を添えてデータベースへのアクセスを要求します。チケットの列も、共有パスワードもありません。
リスクに見合った承認
ピア、DBA、または自動ポリシーが付与します。高リスクの対象は人間へ、定型的なものは自動承認できます。
既定で自動失効
付与は期間が終わると自動的に終了するため、アクセスは過去に発行されたものではなく、今使われているものを反映します。
データベース全体ではなく、タスクに絞る
各付与は最小権限です。タスクが必要とするデータベース・スキーマ・操作に限定され、マスキングとレビューは引き続き有効です。
最小権限のスコープ
特定のデータベースとテーブルに対するクエリ・エクスポート・変更の権限を付与します。インスタンスへの一律アクセスではありません。
マスキングは引き続き適用
一時的な付与の下でも機微なカラムはマスクされたままなので、オンデマンドのアクセスが生の PII を意味することはありません。
証跡付きのブレークグラス
緊急アクセスは可能ですが、承認を経由し、監査ログに記録されます。黙ったバックドアにはなりません。
すべての付与を記録
誰が要求し、誰が承認し、何に触れられ、いつ失効したか — 監査人に手渡せる監査証跡として記録されます。
要求から取り消しまでの完全な証跡
各アクセスのライフサイクルがエンドツーエンドで記録されます。要求、理由、承認者、スコープ、失効。
フレームワークに対応
最小権限と期限付きアクセスは、SOC 2、HIPAA、ISO 27001 が確認する統制です。
実在の identity に紐づく
アクセスは SSO の identity に紐づくため、付与は共有サービスアカウントではなく人の名前を示します。
1 つのアクセスワークフロー、すべてのチームに行き届く統制
インテグレーション
モダンなエンタープライズ環境全体に組み込まれる設計
Bytebase はデータベース、開発ツール、コラボレーションプラットフォームと連携し、複雑でマルチツールなエンタープライズ環境にも自然に溶け込みます。
リソース
