最小権限の原則の適用

最小権限の原則は、ゼロトラストの中核をなす概念です。最小の権限を実装するとは、ユーザー、アプリケーション、システム、その他のコンポーネントに、それぞれのジョブを実行するために必要な最小限の権限レベルを付与することを意味します。

組織内で責任を分離できるように、アプリケーションに粒度を取り入れて設計するようにします。たとえば、分析をチェックすることのみを目的とするユーザーアカウントでは、マスターカタログを管理する許可は必要ありません。この場合、このユーザーアカウントは Business Manager の Analytics を確認する権利のみをもちます。カタログの管理などのその他の権限はブロックされます。

効率的に管理された役割ベースのアクセス管理 (RBAC: Role-Based Access Control) によって、これらの実装が可能になります。RBAC では許可のセットに基づいて役割を作成できます。ユーザーの許可の管理は、対応する役割にユーザーを割り当てるだけですむようになりました。

最小権限には次の利点があります。

• 明示的な許可のない、高レベルの権限を必要とする操作を、ユーザーが誤って実行することがありません。
• 悪意をもつ内部の人物が、必要以上の権限を付与されたアカウントを利用して、攻撃を進めることができません。
• 攻撃者が不適切に付与された許可を利用して、簡単に攻撃を行うことができません。

たとえば、すべての Business Manager ユーザーと OCAPI クライアントには、「デフォルトで拒否」の許可が設定されています。ジョブを実行するために必要な許可を各ユーザーに提供するのは、管理者の責任です。

また管理者は、すべてのユーザー、役割、許可が最新のもので、関連性をもっていることを確認します。アカウントを定期的に監査することが、このプロセスの助けとなります。