ある企業が、Google CloudのIAM(Identity and Access Management)のベストプラクティスとして「最小権限の原則」を適用したいと考えています。この原則の説明として最も正確なものはどれですか?
- A. ユーザー、サービスアカウント、グループには、業務に必要な最低限の権限のみを付与し、不必要な権限は与えない
- B. 管理者権限は必ず2人以上のユーザーに付与し、単一の管理者によるアクセスを禁止する
- C. すべてのユーザーに管理者権限(roles/owner)を付与することで、必要な操作をいつでも実行できるようにする
- D. セキュリティを高めるために、すべてのユーザーのアクセスを週1回の定期的なタイミングのみに制限する
解答と解説を見る
正解: A
最小権限の原則(Principle of Least Privilege)は、ユーザーやサービスアカウントに対して業務遂行に必要な最低限の権限のみを付与するセキュリティ原則。過剰な権限は万が一アカウントが侵害された際の被害範囲を拡大させる。IAMの事前定義ロール(roles/viewer、roles/editor等)や、カスタムロールを使って必要最小限の権限を付与することが推奨される。全員への管理者権限はセキュリティリスクが最大。週1回のアクセス制限は業務効率を著しく低下させる。2人以上への管理者付与は職務分離とは別の概念。