最小権限の原則

Q: 最小権限の原則 からどのように防御しますか?

最小権限の原則 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

監修Florian AmetteCybersecurity entrepreneur & security researcher

最小権限の原則とは何ですか?

最小権限の原則ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。

最小権限の原則(PoLP)は、1975 年に Saltzer と Schroeder が提唱した考え方で、各主体は業務遂行に必要な最小限の権限セットで動作すべきであるとします。徹底すれば、侵害されたアカウント・コンテナ・サービスはアクセスを持っていた限定的な範囲しか被害を及ぼせず、影響半径を抑えられます。PoLP は IAM 設計(細粒度ロール、スコープ付きトークン)、システムハードニング(Linux capability の縮小、非 root 実行)、ソフトウェアアーキテクチャ(特権分離、サンドボックス)、ゼロトラスト戦略に大きく影響します。実装には RBAC/ABAC、時限的な JIT 昇格、定期的なアクセスレビュー、エンタイトルメント分析による未使用権限の除去などが用いられます。

● 例

01
マイクロサービスが、スキーマ全体ではなく必要な行のみ読み取れる DB ロールを使う。
02
開発者が常時管理者権限を持たず、JIT で時限的に取得する。

● よくある質問

最小権限の原則とは何ですか?

ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。サイバーセキュリティの ID とアクセスカテゴリに属します。

最小権限の原則とはどういう意味ですか?

ユーザー・プロセス・サービスに対し、その業務に厳密に必要な権限だけを付与し、それ以上は与えないというセキュリティ原則。

最小権限の原則からどのように防御しますか?

最小権限の原則に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

最小権限の原則の別名は何ですか?

一般的な別名: 最小特権, 知る必要性。

最小権限の原則