最小権限の原則 (Least Privilege)
読み: さいしょうけんげんのげんそく
最終更新: 2026-06-27・AI PICKS編集部
定義
最小権限の原則とはシステム・ユーザー・プロセスが業務遂行に必要な最低限の権限のみを持ち、それ以上は付与しないとするセキュリティ設計の基本原則のこと。
最小権限の原則 (Least Privilege)とは — 詳しく解説
最小権限の原則 (Least Privilege) とは、システム・ユーザー・プロセスが業務に必要な最低限の権限だけを持ち、それ以上は付与しないとする情報セキュリティの根幹原則のこと。1975 年に Saltzar & Schroeder が提唱した古典的概念だが、2026 年現在は AI エージェント・クラウド・SaaS 横断の権限設計でその重要性が急増している。 実運用での最大の落とし穴は「とりあえず管理者権限で動かす」初期設定の放置。AWS/GCP で Root 権限のまま CI/CD を走らせる現場は今も多く、侵害時の爆発半径が全体に及ぶ。相場感では IAM ロール設計の整理に 1〜2 週間、SaaS のグループ別権限展開に 2〜4 週間かかるケースが多い。 AI エージェント時代の新課題として、Claude Agent SDK や OpenAI Assistants でツール権限を広く与えると、誤動作・プロンプトインジェクション時の被害が拡大する。AI PICKS では「エージェントのスコープは読み取り専用から始め、書き込み・削除は明示的申請制にする」運用を推奨。MCP 接続ツールや RAG システムを業務導入する際は、スコープ設計を開発初期から行うことが 2026 年の業界標準となりつつある。
最小権限の原則 (Least Privilege)の使用例
- AIエージェントに与えるツール権限は読み取り専用から始め、書き込み・削除権限は申請制にする。
- RAGシステムで他部署のドキュメントに触れないよう、ユーザーの所属情報でフィルタリングする。
最小権限の原則 (Least Privilege)に関連するAIツール
関連用語
「セキュリティ」の他の用語
ユーザー入力で AI の指示を上書きする攻撃。 「これまでの指示は無視して◯◯」 が典型例。
AI の安全制限を回避する手法。 ロールプレイや仮想シナリオで 禁止出力を引き出す。
ガードレールとは、AIシステムが有害・不適切・意図しない出力を生成しないよう制限するための安全制御機構のこと。
レッドチーミングとは、AIシステムの安全性・脆弱性を検証するため、攻撃者の視点から意図的に悪意ある入力やシナリオを試みる評価手法のこと。
シャドーAIとは、企業のIT部門や経営層の承認なしに従業員が個人的に業務で使うAIツール・サービスのこと。情報漏洩・規約違反・ガバナンス崩壊のリスクを内包する。
モデルポイズニングとは、AIモデルの学習データに悪意あるデータを混入させ、モデルの出力や判断を意図的に歪める攻撃手法のこと。
AI用語辞典をすべて見てみませんか
12カテゴリ・202語以上を体系的に整理しています
辞典トップへ