情報セキュリティマネジメント試験 科目A キーワード集 > 最小権限の原則
概要
最小権限の原則(Least Privilege)とは、利用者やプログラムに対し、業務の遂行に必要な最小限の権限(アクセス権)だけを与えるという情報セキュリティの基本的な考え方です。「必要なものだけ(need-to-know)」の原則とも関連します。
過剰な権限を与えないことで、アカウントが乗っ取られたり、内部不正が起きたりした場合の被害を最小限に抑えられます。攻撃者が侵入しても、奪えるのは最小限の権限だけ、という発想です。
詳細(なぜ有効か)
- 内部不正の抑止:業務に不要なデータにアクセスできないため、持ち出し・悪用を防げる。
- 被害の局所化:アカウントが乗っ取られても、権限が小さければ被害範囲が限定される。
- 横展開の防止:攻撃者が侵入しても、権限昇格や他システムへの移動が難しくなる。
最小権限の原則のキーワードは「
必要最小限の権限だけ与える」。乗っ取り・内部不正時の
被害を最小化する点が核心。
ゼロトラストや
特権ID管理の基盤となる考え方です。
実践のポイント
- 役割(職務)に応じて権限を割り当てる(RBAC)。
- 異動・退職時に権限を速やかに見直す・無効化する。
- 強い権限を持つ特権IDは厳格に管理し、必要なときだけ使う。
- 定期的に権限の棚卸し(アクセス権レビュー)を行う。
関連例
業務に不要な広い権限を持つアカウントが乗っ取られ、大量の情報が窃取される事例があります。最小権限が徹底されていれば、被害は限定されたはずです。退職者のアカウントや過剰権限の放置が、内部不正や侵入後の横展開を許す原因になります。
試験での問われ方
- 「業務に必要な最小限の権限だけを与える考え方はどれか」→ 最小権限の原則。
- 「最小権限の原則の効果はどれか」→ 乗っ取り・内部不正時の被害最小化。