基礎概念
最小権限の原則
Principle of Least Privilege
定義
最小権限の原則とは「ユーザー・プロセス・サービスアカウントには、与えられたタスクを遂行するために必要な最低限の権限のみを付与する」というセキュリティ設計の基本原則です。Webサーバープロセスがrootで動作していると、アプリの脆弱性が突かれた瞬間に攻撃者はシステム全体を掌握できてしまいます。最小権限を徹底することで、侵害が発生しても攻撃者の行動範囲を限定でき、ラテラルムーブメント(横展開)の抑制と被害の局所化が期待できます。実装にはRBACやABACによる細粒度な権限設計・不要になった権限の即時剥奪・Just-In-Time(JIT)アクセス(必要なときだけ昇格された権限を付与する)が有効です。クラウド環境(AWS IAM・Azure RBAC・GCP IAM)では「過剰な権限を持つサービスアカウント」が最もよく発見されるセキュリティ設定ミスの一つです。
関連用語
よくある質問
最小権限の原則とは?
ユーザーやプロセスには、タスク遂行に必要な最低限の権限のみを付与するセキュリティ原則。権限昇格攻撃の被害範囲を最小化するために重要。
同じカテゴリの用語(基礎概念)
ABAC
Attribute-Based Access Control
ユーザー、端末、リソース、場所、時刻などの属性を条件にしてアクセス可否を判断する方式。…
Audit Log
Audit Log
誰が、いつ、何にアクセスし、どの操作を行ったかを追跡するための監査用ログ。…
Blast Radius
Blast Radius
侵害や障害が起きたときに影響が広がる範囲。権限、ネットワーク、データ連携、依存関係で変わる。…
Browser Extension Permission
Browser Extension Permission
ブラウザ拡張機能が閲覧データ、タブ、サイト、Cookie、ストレージなどへアクセスするために要求する権限。…
CIA三原則
CIA Triad
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
Communication Channel
Communication Channel
インシデント対応中に関係者が連絡、判断、報告を行うためのチャット、電話、会議、チケットなどの連絡経路。…