「最小権限の原則」の原点「Saltzer and Schroeder」を読む

IPAのセキュアコーディングなどで紹介されているSaltzer and Schroederは初出1973年の古典だ。なかなかのボリュームなので、なんとなく気になるところから読んでみる。ちなみに「サルツァー・アンド・シュレーダー」と発音する。スヌーピーでピアノを弾いてたのはシュローダー。

Saltzer and Schroeder, The Protection of Information in Computer Systems

Least privilege: Every program and every user of the system should operate using the least set of privileges necessary to complete the job. Primarily, this principle limits the damage that can result from an accident or error.

「最小権限の原則」も、インターネットどころかUNIXがアセンブラからC言語で書き直された1970年代前半には確立されていた。

Put another way, if a mechanism can provide "firewalls," the principle of least privilege provides a rationale for where to install the firewalls. The military security rule of "need-to-know" is an example of this principle.

rationaleは根拠のこと。最小権限の原則は「どこにファイアウォールを立てるか」も示唆する。その後に続く「Military」という単語が出てきてドキッとするが、そういえば、この論文はそこかしこに軍事用語が出てくる。

The usual strategy for providing reversibility of bindings is to control when they occur--typically by delaying them until the last possible moment. The access control list system provides exactly such a delay by inserting an extra authorization check at the latest possible point.

ACL（アクセス・コントロール・リスト）についても、相手の攻撃を遅らせるための戦略(strategy)と書かれていて軍事っぽい。70年代からの伝統芸というわけだ。