サイバーセキュリティ基礎 / 組織で働くときの作法 (ゼロトラスト)
本人確認 / 端末確認 / 最小権限
無料公開レッスン / 読了目安 5 分
学習のねらい
ゼロトラストの考え方を実践するためには、具体的な行動が必要です。このレッスンでは、その中でも特に重要な「本人確認」「端末確認」「最小権限」という3つの柱について学びます。これらは、情報セキュリティを確保するための基本的な要素です。
1. 本人確認—アクセスするたびに認証する
ゼロトラストでは、「一度ログインしたから大丈夫」ではなく、システムやデータにアクセスするたびに、本当にそのユーザー本人であるかを確認します。これは、たとえ社員であっても、そのアクセスが本当に正当なものかを常に疑う姿勢に基づいています。
現代の業務では、さまざまなSaaS(Software as a Service、クラウドで提供されるソフトウェア)を利用することが一般的です。そのため、以下の仕組みが重要になります。
- SSO(Single Sign-On、シングルサインオン): 一度ログインするだけで、複数のSaaSにアクセスできるようになる仕組みです。これにより、ユーザーは複数のパスワードを覚える必要がなくなり、利便性が向上します。
- 2FA(Two-Factor Authentication、二要素認証): パスワードだけでなく、スマートフォンアプリで生成されるワンタイムパスワードや生体認証など、複数の異なる要素を組み合わせて本人確認を行う仕組みです。これにより、パスワードが漏洩しても不正アクセスを防ぎやすくなります。
これらの仕組みを導入し、業務で利用するすべてのSaaSに対してSSOと2FAを適用することが、現代の本人確認の標準的なアプローチです。
2. 端末確認—業務端末はIT管理下のもののみ
アクセスしている端末が、安全な状態にあるかどうかの確認も非常に重要です。たとえ本人確認ができたとしても、ウイルスに感染している端末や、セキュリティ設定が不十分な端末からのアクセスはリスクが高まります。
- 業務利用は会社が管理する端末に限定する: 会社の情報資産にアクセスする端末は、IT部門がセキュリティパッチ(ソフトウェアの脆弱性を修正するプログラム)の適用状況やセキュリティソフトの導入状況を管理しているものに限定するのが理想的です。
- 私物端末の利用ルールを明確にする: どうしても個人のスマートフォンやPCを業務で利用する必要がある場合は、アクセスできる情報やシステムを限定したり、特定のセキュリティ設定を義務付けたりするなど、明確なルールを設ける必要があります。例えば、共有ファイルへの閲覧のみを許可し、編集やダウンロードは禁止するといった制限が考えられます。
「どんな端末からでもアクセスできる」という利便性と、「安全に情報を守る」というバランスを考慮し、適切なルールと技術的な対策を組み合わせることが大切です。
3. 最小権限—必要なものだけにアクセスできるようにする
「最小権限の原則(Principle of Least Privilege)」とは、ユーザーやシステムには、業務を遂行するために必要最小限の権限のみを与えるべきだという考え方です。
例えば、経理部の社員が人事部の機密情報にアクセスする必要はないはずです。また、開発者が本番環境のデータベースを直接操作する権限は、通常は必要ありません。
- 定期的な権限の見直し: 半年に一度など、定期的に自分のアクセス権限が本当に業務に必要かどうかを見直す習慣をつけましょう。不要な権限は速やかにIT部門に報告し、削除してもらうことが重要です。
- 職務に応じた権限の付与: 新しいプロジェクトに参加したり、部署異動があったりした際には、その職務に必要な権限を新たに付与し、不要になった過去の権限は削除する運用が望ましいです。
不必要な権限が残っていると、万が一アカウントが乗っ取られた場合に、被害が拡大する原因となります。常に「自分の権限は本当に必要なものだけか」を意識することが大切です。
まとめ
ゼロトラストを実現するためには、「本人確認」「端末確認」「最小権限」の3つの柱が不可欠です。SSOと2FAによる本人確認、IT管理下の安全な端末の利用、そして定期的な権限の見直しを通じて、情報セキュリティを強化していきましょう。
関連動画
[Claude Code 入門 E01] AIモデルとトークン概念:LLMの仕組みとコスト計算完全ガイド (開発者向け)
【1分解説】Claude関連の5用語、これだけでOK