SC-900セキュリティ、コンプライアンス、および ID の概念HARD単一選択

ある企業のセキュリティアーキテクトが、クラウドとオンプレミスのハイブリッド環境におけるゼロトラスト設計を検討している。ゼロトラストの「最小特権アクセス(Use least privilege access)」の原則を最もよく実装しているシナリオはどれか。

  1. A. 全社員に同じ共通アカウントを使わせ、パスワードを定期的に変更させる
  2. B. 管理者アカウントを通常業務にも使用し、必要なリソースに常時アクセスできるようにしておく
  3. C. すべてのユーザーに全リソースへのアクセスを許可し、アクセスログを詳細に記録する
  4. D. ユーザーの職務役割に応じて必要最小限のアクセス権のみを付与し、管理者権限は業務上必要な時間だけ一時的に昇格させる
解答と解説を見る

正解: D

最小特権(Least Privilege)の原則は、ユーザーやシステムが職務遂行に必要な最小限のアクセス権のみを持ち、不要な権限は付与しないという考え方である。管理者権限を必要な時間だけ一時的に付与するJIT(Just-In-Time)アクセスもこの原則の実装例である。侵害が発生した場合の「爆発半径」を最小化する効果がある。選択肢Aの共通アカウントは個人の行動追跡ができず、アカウント侵害時の影響が全社に及ぶため最悪の設計である。選択肢Bの管理者アカウントの常時使用は、フィッシングや誤操作で管理者権限が悪用されるリスクを最大化するため最小特権の真逆である。選択肢Cは「許可してからログする」アプローチであり、アクセス制御を放棄している点で最小特権に反する。詳細ログは必要だが、アクセス権の制限を代替するものではない。

▸ この試験を本気で演習する(全150問・無料)

同じ分野の関連問題