意識する3つの特性
セキュリティの考え方にはNeed-To-Know(知る必要性)、Least Privilege(最小権限)、Separation of Duties(職務分掌)という、3つの特性があります。各資産においてリスク分析をする中で、公開してよい情報か、開示の範囲を制限すべき情報かを考えることが重要になっています。 DXの時代において情報をオープンにしていくという考え方もあります。情報の公開範囲の検討が重要です。
①Need-To-Know(知る必要性)
対象の情報を誰に開示するかを取り決め、開示範囲を制限することです。
情報が誰でも見られるものでないということは、開示範囲が設けられるということです。その情報を知る必要がない者にまでアクセス権を付与してしまうと、情報漏えいリスクを不必要に高めてしまうこととなります。
②Least Privilege(最小権限)
場面に応じて必要最小限の権限だけを与えるようにすることです。
同じ情報にアクセスする人でも、アクセス目的は異なります。編集が必要ならば編集権限を付与しますが、閲覧が目的の場合には閲覧権限のみを付与します。閲覧のみを行う人に、編集権限を付与することは過剰権限となり、リスクを高めることになります。
③Separation of Duties(職務分掌)
役職や個人の取り組む内容を明確にし、監視や監督を行い不正などを未然に防ぐことを目的としています。
編集などの業務を執行する人と変更確認の承認者を分けることで不正を抑止する効果が見込めます。