セキュリティチェックシート：アクセス権限（RBAC/最小権限）の回答テンプレ

### このページの目的 アクセス制御（Access Control）に関する質問に対し、Role-Based Access Control (RBAC) と Least Privilege（最小権限）の原則に基づいていることを証明します。 ### 得られるもの - RBACを用いたシステマチックな管理のアピール文 - 定期的な棚卸し（レビュー）の回答 - 特権ID管理の回答 --- ### 回答テンプレート #### パターンA：RBAC導入済み（標準） ```text 当社はRBAC（ロールベースアクセス制御）を採用しており、個人の属性ではなく「業務上の役割」に基づいて権限を付与しています。 「開発者」「運用者」「監査人」等のロールを定義し、各ロールには業務遂行に必要な最小限の権限（Least Privilege）のみを許可しています。 ``` #### パターンB：特権ID管理重視（金融・エンタープライズ） ```text 本番環境へのアクセスには専用の特権ID（Jump Server経由）を使用し、利用申請・承認ワークフローを経て一時的に権限を付与しています。 常時特権を持つアカウントは存在せず、アクセス内容は全て動画およびテキストログとして記録されています。 ``` #### パターンC：定期レビュー（運用対処） ```text アカウントおよび権限の棚卸しを四半期ごとに実施しています。 人事異動や退職に伴う不要な権限は即時（3営業日以内）に削除されるプロセスを確立し、不要なアクセス権が残留しないよう管理しています。 ``` --- ### 添付・証跡として用意すべきもの 1. **ロール定義表**: どのロールが何ができるかの一覧表（マトリクス）。 2. **棚卸し記録**: 「〇月〇日 棚卸し実施確認済み」の記録やチケット。 ### やってはいけないNG回答 - ❌ 「全員管理者権限です」（スタートアップにありがちだが即死） - ❌ 「必要に応じて付与しています」（プロセスの欠如） ### 最小構成 vs 推奨構成 | 項目 | Minimum（最低ライン） | Recommended（推奨ライン） | |---|---|---| | **権限付与** | 人ごとに設定 | ロール（役割）ごとに設定 | | **見直し** | 退職時のみ | 定期的（3ヶ月〜半年）に棚卸し |