A不正解
多層防御(Defense in Depth)の原則
多層防御は、ネットワーク・ホスト・アプリなど複数の防御層を重ねて侵害の影響を抑える という実在のセキュリティ原則です。
ただし本問が説明しているのは 付与する権限を必要最小限にする ことであり、防御層の重ね方ではないため不正解です。
利用者やアプリケーションには、業務に必要な最小限の権限だけを与え、不要な権限は付与しないというセキュリティの原則を何と呼びますか。
1 / 1
回答を選択してください
正解C
解説
必要最小限の権限のみ付与するセキュリティ原則の名称を選ぶ問題。
- 1「必要な最小限の権限だけ」業務に必要な操作のみ許可する=最小権限
- 2「不要な権限は付与しない」過剰な権限を排除して被害範囲を抑える
B不正解
職務分掌(Separation of Duties)の原則
職務分掌は、1 人に権限を集中させず、重要な操作を複数人の役割に分ける という実在の原則です。
権限の管理という点では近いものの、本問の説明は 個々の利用者へ与える権限の量を最小限にする ことであり、役割の分担ではないため不正解です。
C正解
最小権限の原則
正解。最小権限の原則(Least Privilege)は、業務遂行に必要な最小限の権限だけを与える考え方です。不要な権限を持たせないことで、誤操作や認証情報漏洩時の被害範囲を最小化できます。IAM 設計の基本です。
D不正解
ゼロトラストの原則
ゼロトラストは、社内ネットワークであっても暗黙に信頼せず、すべてのアクセスを検証する という実在のセキュリティモデルです。
『信頼しない・常に検証する』が主眼であり、与える権限を必要最小限にする という本問の説明そのものではないため不正解です。
ポイント
『必要最小限の権限』は 最小権限の原則(Least Privilege)。IAM のベストプラクティスの中核で、漏洩・誤操作時の影響を最小化する。多層防御(防御層を重ねる)・職務分掌(権限を複数人に分ける)など実在する別原則との取り違えに注意し、『必要最小限』のキーワードで判別する。