3.1.5　最小特権の原理原則

はじめに

原文見出し：
「Employ the principle of least privilege, including for specific security functions and privileged accounts.」
見出し訳：
「特定のセキュリティ機能及び特権アカウントを含む、最小特権の原理原則を採用する。」
本要件は、派生セキュリティ要件です。

セキュリティにおいては、本要件にある「特権」に限らず、何事も最小限にする事が原理原則です。
「なんでもあり」は、セキュリティとして低いものになりますが、一般利用者は、これが大好きです。
人によっては、セキュリティを「業務妨害だー！」と宣う方もいらっしゃいますが、企業活動をするうえで、セキュリティは、業務妨害なのでしょうか？
そういう方は、ご自宅の扉に鍵を掛けずに、お出かけされてみると、理解できるのかもしれません。

アカウント及び機能に付与する権限において、システム本体又はアプリケーション本体への業務役割に応じた特別な権限（特権）は、システムやアプリケーションの根幹的な機能或いは高いレベルの機能などが利用可能な権限であり、これを乗っ取り、侵害された場合、組織内外に被害を及ぼす可能性が高まります。
何らかの権限管理に携わる方達からすれば、「そんなことは分かっているよ！」と言われそうですが、統計情報はないですが、私の周囲で出来ているのを拝見したことがありません。Firewallなどは、最低限やってはいますが、それだけが、アクセス制御ではありません。
また、Cloud 環境になると専門外の利用者も多いことから、難しい状況と考えています。
最小限の特権の原理原則を採用、遵守する事は、それぞれの企業における事業タスクまたは業務タスクを遂行する必要がある職員（或いは職員に代って動作するプロセス）に対して、許可された範囲のアクセスだけを許すことになり、職員においても組織においても、役割が明確になり、余分な責任やリスクを抱えることがなくなります。