Need-to-Know(必要に応じた知る権利)
Need-to-Know(必要に応じた知る権利) とは何ですか?
Need-to-Know(必要に応じた知る権利)業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。
Need-to-Know は最小権限の原則に「テーマ別フィルター」を加えるものです。Secret のクリアランスを持つだけでは Secret 文書すべてを閲覧できず、その特定情報を知るべき業務上の理由が文書化されている必要があります。軍と情報機関の運用に起源があり、ISO/IEC 27002、NIST SP 800-53、HIPAA、GDPR などで要求されます。実装はデータ分類、RBAC/ABAC、Just-in-Time アクセス、マスキング、機微情報を誰が何の理由で参照したかを監査するログ運用などで行います。
● 例
- 01
クリアランス保有の人事担当者でも、文書化された人事案件なしに他従業員の医療ファイルを閲覧してはならない。
- 02
DBA は調査用に明示的に承認されない限り、カード番号はマスクされた状態でのみ参照できる。
● よくある質問
Need-to-Know(必要に応じた知る権利) とは何ですか?
業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
Need-to-Know(必要に応じた知る権利) とはどういう意味ですか?
業務上の必要があると認められた人だけに情報を開示する原則。たとえ適切な機密区分の許可を持っていても適用される。
Need-to-Know(必要に応じた知る権利) はどのように機能しますか?
Need-to-Know は最小権限の原則に「テーマ別フィルター」を加えるものです。Secret のクリアランスを持つだけでは Secret 文書すべてを閲覧できず、その特定情報を知るべき業務上の理由が文書化されている必要があります。軍と情報機関の運用に起源があり、ISO/IEC 27002、NIST SP 800-53、HIPAA、GDPR などで要求されます。実装はデータ分類、RBAC/ABAC、Just-in-Time アクセス、マスキング、機微情報を誰が何の理由で参照したかを監査するログ運用などで行います。
Need-to-Know(必要に応じた知る権利) からどのように防御しますか?
Need-to-Know(必要に応じた知る権利) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- identity-access№ 854
最小権限の原則
ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。
- compliance№ 1007
職務分掌(SoD)
重要な業務を複数の人や系統に分割し、一人(一系統)だけでは完結できないようにする統制の原則。
- identity-access№ 946
ロールベースアクセス制御(RBAC)
権限をユーザーに直接ではなくロールに付与し、ユーザーはロール割り当てを通じてアクセス権を継承する認可モデル。
- identity-access№ 074
属性ベースアクセス制御(ABAC)
主体・リソース・アクション・環境の属性に基づいてポリシーを評価し、アクセス要求の許可可否を判断する認可モデル。
- privacy№ 276
データ分類
機微性と価値に基づきデータにラベルを付ける一連のプロセスで、保護・取り扱い・保存の各統制を一貫して適用するための基盤。
- identity-access№ 861
特権アクセス管理(PAM)
管理者権限を持つアカウントやシステムへのアクセスを安全に管理・制御・監視・監査するためのプラクティスとツールの総称。