JPCERT コーディネーションセンター

最小特権の原則

場面に応じて必要最小限の権限だけを与えるようにする原則を「最小特権の原則」といいます。この原則を守ることで、実際にインシデントが発生した場合の被害を最小限に抑えることができます。

最小特権の原則を適用したシステム運用の例を以下に示します。

- 通常業務を遂行する際には一般ユーザアカウントを使用する- 遠隔からの管理者アカウントによるログインは拒否する- 管理作業を行うユーザのアカウントに対して、実行可能なコマンドを限定するシステムやネットワークを設計・運用する際に、ポリシーや実装などにて最小特権の原則が守られているかどうかを確認し、定期的に見直すことをお勧めします。

なお、最小特権の原則を遵守するため、OS によっては権限の昇格を一時的にする仕組みや役割ベースのアクセス制御が実装されていることがあります。Windows では Runas コマンド、Unix 系の OS では、sudo コマンドなどがよく知られています。
参考文書(日本語)

Weekly Report 2007-03-07号 に掲載

Topへ

Topへ
最新情報(RSSメーリングリストTwitter