まず結論

最小権限の原則は、業務に必要な最小限の権限だけを与えることでリスクを抑える考え方です。
SG試験では「過剰な権限かどうか」を判断させる問題で問われます。

---

直感的な説明

「会社の鍵の管理」で考えると分かりやすいです。

• 全社員にマスターキーを渡す → 危険
• 必要な部屋の鍵だけ渡す → 安全

👉
“できることを減らすことで、事故や不正を防ぐ”考え方です。

---

定義・仕組み

最小権限の原則とは、

• 利用者・システム・プログラムに対して
• 業務遂行に必要な範囲だけの権限を与える

というセキュリティの基本原則です。

---

なぜ重要か

権限が多すぎると：

• 不正アクセス時の被害が拡大する
• 誤操作による事故が起きやすい
• 内部不正のリスクが高まる

👉
権限を絞ることで被害の範囲を最小化できる

---

どんな場面で使う？

使う場面

• 社内システムの権限設計
• クラウドのアクセス権設定
• 委託先への権限付与

👉 現場では
「必要な人に必要な分だけ」を徹底するための基本方針

---

使うと誤解しやすい場面

• 管理を楽にするために権限を広げる
  → セキュリティ的にはNG

---

よくある誤解・混同

SG試験でよく出ます。

❌ とりあえず管理者権限を付与

→ ⭕
必要最小限に制限するのが原則

---

❌ 権限は多い方が便利でよい

→ ⭕
便利さよりリスク低減が優先

---

❌ 一度設定すれば見直し不要

→ ⭕
業務変更に応じて定期的な見直しが必要

---

❌ 認証がしっかりしていれば不要

→ ⭕
認証だけでは不正操作は防げない
→ 認可（権限管理）とセットで必要

---

👉 SG試験では
「過剰権限 → NG」と判断できるかが重要です。

---

まとめ（試験直前用）

• 最小権限は必要最小限の権限だけ付与する考え方
• 被害の拡大防止に効果がある
• 認証ではなく認可の領域
• 定期的な見直しが必要

👉 判断基準
権限が多すぎる → NG
必要最小限 → OK

🔗 関連記事

• アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
• アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
• 情報資産台帳とは？リスク管理の出発点を整理【情報セキュリティマネジメント】
• 認証・アクセス制御まとめ｜SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【情報セキュリティマネジメント】

---

🏠 情報セキュリティマネジメントトップに戻る

← アクセス制御モデルとは？RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】 特権ID管理とは？管理者権限のリスクと対策を整理【情報セキュリティマネジメント】 →