最小権限の原則の説明として適切なものはどれか。

📝 解説

最小権限の原則（Principle of Least Privilege：PoLP）は「ユーザー・プロセス・システムに対して、業務・処理の遂行に必要な最低限の権限だけを付与する」という情報セキュリティの基本原則です。工場の鍵管理に例えると、製造ラインの作業員は「自分が担当する工程の部屋の鍵だけ」持ち、他の部屋には入れないように管理するのが最小権限の原則です。全員が全部屋の鍵を持つと、1人が不正を働いたり感染したりした場合に全施設が被害を受けます。IT環境での具体例：一般ユーザーに管理者権限を与えない・DBアクセスには必要なテーブルへの権限のみ付与・サービスアカウントには最低限の操作権限のみ付与。これにより、万が一アカウントが侵害されても攻撃者が利用できる権限を最小化でき、被害の「爆発半径」を小さくできます。「特権アクセス管理（PAM）」と組み合わせて使われることも多いです。誤答の「管理者はすべての権限を持つべき」は最小権限の原則と相反します。「最小権限の原則＝業務に必要な最低限の権限のみ付与・万が一の侵害時の被害を最小化する」と覚えましょう！