「最小権限の原則」とは？

不正アクセスを防止するための大前提として「最小権限の原則」を徹底しましょう。
「最小権限の原則」とは、人やシステムに対して、業務を遂行するために最低限の権限を与える、という原則です。この「最小権限の原則」を意識して、権限を付与していくことが重要です。
権限は以下のように分類できます。

・参照権限
・更新権限
・管理者権限
・監査権限

また、各権限はそれぞれに定義があります。
参照権限は、データやファイルを閲覧だけできる権限です。更新はできません。
更新権限は、データやファイルの閲覧だけでなく、更新が可能な権限です。
管理者権限は、更新権限に加えて、ユーザの作成、削除、更新を行う権限を持っています。
監査権限は、各IDの操作ログを閲覧する権限を持っています。

誰に・どのような権限を与えるか、必要最低限で考える

これらの権限は、職務分掌の観点から、部署、役職の役割に基づき、どのような権限が必要なのかを明確にしたうえで、付与します。

例えば、複数の課に分かれている営業部を持つ会社の顧客管理システムで考えてみましょう。営業部第１課のメンバーAは取引先の追加や受注金額などの詳細を入力するための「更新権限」が与えられています。メンバーAには営業部第１課のほかのメンバーの入力内容が見られる「参照権限」もあります。しかし営業部第２課の「参照権限」はありません。営業部の部長は営業部すべての課の取引先や売上金額を把握し、参照だけでなく決裁をする必要があるため営業部全体の「更新権限」を持っています。

経理部門のメンバーには受注金額等を確認する必要があるので営業部全体の「参照権限」が付与されています。取引先の追加や売上額の変更は行わないので「更新権限」は付与されていません。

情報システム部門のメンバーは、人事情報に合わせてIDの管理をする必要があるため「管理者権限」を持っています。また、各IDの操作ログを管理するため「監査権限」を持っています。ただし、すべてのメンバーではなく、その業務を担当するメンバーのみです。

「最小権限の原則」における注意点

このように、必要な人が必要な権限のみ持つということが「最小権限の原則」です。

上記はあくまでも一例であり、実際はさらに複雑な権限管理が必要となるでしょう。「○○の業務をするかもしれないから、管理者権限を付与しておこう」ということを行っていると、権限の管理が行き届かなくなるだけでなく、内部不正につながる恐れもあります。

情報システム部門は権限を与えすぎていないか、もう使わない権限が付与されていないかを定期的にチェックし、権限を抹消したり、他の権限に変更したりするなどの対応が必要でしょう。ゼロトラストの考え方に沿って、システムで管理する仕組みも必要かもしれません。

企業の信頼を守るためにも「最小権限の原則」を徹底する

企業の顧客情報といった機密情報が社員によって持ち出される、といった事件は日本各地で起き、たびたびニュースになってきました。一度起こると企業の信頼は失墜し、事業に大きな影響を与えかねません。そのような事態を未然に防ぐためにも、業務を遂行するために最低限の権限を与える、「最小権限の原則」に従って権限を付与することが必須といえるでしょう。