セキュリティのしくみ「適切な人にだけ権限を与える」

スポンサーリンク

アクセスしてよいのは誰か?

同じ会社内であっても、ファイルやデータベース、ネットワークなどに誰もがアクセスできてよいものではありません。

このため、特定の人に限定してアクセスできる権利を付与します。これをアクセス権と呼び、利用者単位や部署単位などで設定することが一般的です。

特定の個人を識別する「認証」

認証と認可の違い

特定の個人を識別する方法を認証(Authentication)と呼びます。許可された利用者であるか判断する方法として、IDとパスワードを用いることが一般的です。

最近では、IDカードや指紋などを使った認証方法も使われています。

アクセス権を制御する「認可」

認証された利用者に対してアクセス権の制御を行い、利用者に合わせた権限を提供することを認可(Authorization)と呼びます。

書き換えが可能な権限だけでなく、参照だけが可能な権限を付与することもあります。適切な権限を付与しておかなければ、重要な情報に勝手にアクセスされる可能性があり、情報漏えいのリスクが増加します。

与える権限は必要最小限にとどめる「最小特権の原則」

特権、権利者権限とその管理

必要最小限の権限だけを利用者に与えるという原則を最小特権の原則と呼びます。

同一人物でも、普段は一般の利用者としての権限で業務を行い、管理者としての業務が必要な場合のみ一時的に権限を付与する、といった対応が考えられます。

これにより、不正アクセスや情報漏えいが発生したときの被害を最小限に抑えることができます。