第4章:権限管理(最小権限/申請/監査ログ)
この章で学ぶこと
- 最小権限(必要最小限)を前提にする
- 権限は申請/承認/期限で管理する
- 監査ログと棚卸しで継続的に維持する
成果物(または判断基準)
本文
過剰権限は、誤操作と不正操作の両方のリスクを増やす。権限は必要になったタイミングで申請する運用に寄せる。
最小の仕組み
- 申請: 理由/期間/範囲
- 承認: 承認者と根拠
- 期限: 期限が来たら自動/手動で剥奪
- 監査: ログで追える
- 棚卸し: 定期確認(退職/異動含む)
具体例(悪い例→良い例)
悪い例
とりあえず管理者権限を付与
期限も棚卸しも無い
良い例
必要な期間だけ読み取り専用(read-only)権限を申請
監査ログを有効化し、定期棚卸しを実施
期限到来で剥奪する
チェックリスト
- 最小権限になっている
- 申請/承認/期限がある
- 監査ログが取れる
- 棚卸しがある
まとめ
- 権限は最小権限を原則とし、申請/承認/期限で管理する
- 監査ログと定期棚卸しで、過剰権限や残権限を継続的に解消する
次章への接続
- 次章: 第5章