基礎概念
最小権限の原則
Principle of Least Privilege
定義
最小権限の原則とは「ユーザー・プロセス・サービスアカウントには、与えられたタスクを遂行するために必要な最低限の権限のみを付与する」というセキュリティ設計の基本原則です。Webサーバープロセスがrootで動作していると、アプリの脆弱性が突かれた瞬間に攻撃者はシステム全体を掌握できてしまいます。最小権限を徹底することで、侵害が発生しても攻撃者の行動範囲を限定でき、ラテラルムーブメント(横展開)の抑制と被害の局所化が期待できます。実装にはRBACやABACによる細粒度な権限設計・不要になった権限の即時剥奪・Just-In-Time(JIT)アクセス(必要なときだけ昇格された権限を付与する)が有効です。クラウド環境(AWS IAM・Azure RBAC・GCP IAM)では「過剰な権限を持つサービスアカウント」が最もよく発見されるセキュリティ設定ミスの一つです。
関連用語
同じカテゴリの用語(基礎概念)
CIA三原則
CIA Triad
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
暗号化
Encryption
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TL…
可用性
Availability
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA…
完全性
Integrity
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI…
機密性
Confidentiality
許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。…
脅威
Threat
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リス…