基本情報技術者試験「アクセス制御」の問題
C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情報漏えいリスクを下げる運用上の根本対策として、最も適切なものはどれか。
ア共有フォルダ内のファイルを暗号化し、閲覧のたびに利用者へ復号鍵の入力を求める。
イ共有フォルダへのアクセスログを取得し、不審なアクセスを事後に監査する。
ウ付与は職務上必要な範囲に限り、異動・退職の契機ごとに権限を棚卸しする運用とする。
エ情報の取扱規程を全社員に周知し、不要なフォルダを開かないよう注意喚起する。
正解
ウ.付与は職務上必要な範囲に限り、異動・退職の契機ごとに権限を棚卸しする運用とする。
問題の本質は『不要な権限が残る』運用不備である。付与を職務上必要な範囲に限る最小権限の原則に立ち、異動・退職という権限変更が生じる契機で確実に棚卸しする運用を定着させれば、不要なアクセス権そのものが消滅する。
?選択肢ごとの解説
ア ×暗号化と復号鍵は鍵を持つ者なら閲覧できるため、不要な権限を持つ者が鍵も持っていれば漏えいは防げず、根本の権限過剰を解消しない。
イ ×アクセスログの監査は事後検知であり、不要な権限の存在という原因を取り除かないため、漏えいを未然に防ぐ根本対策にならない。
ウ ○問題の本質は『不要な権限が残る』運用不備である。付与を職務上必要な範囲に限る最小権限の原則に立ち、異動・退職という権限変更が生じる契機で確実に棚卸しする運用を定着させれば、不要なアクセス権そのものが消滅する。
エ ×注意喚起は人の善意に依存し、技術的・運用的に権限が残っている状態を是正しないため、確実性を欠く。
✎くわしく
アクセス制御の原則は『最小権限(Need to know / Least privilege)』である。権限のライフサイクル管理(付与・変更・剥奪)を契機イベントに紐づけて自動化・定例化することが、権限の塩漬けを防ぐ要諦である。
✓本番での押さえどころ
試験のコツ
『権限が残る/過剰』が原因なら、最小権限+定期棚卸しの運用が正解。技術的事後対策は根本解決にならない。
覚え方
権限は『使う分だけ・要らなくなったら返す』。図書館の貸出と同じで期限管理が肝。
よくある誤り
暗号化やログ監査といった『一見強力な技術対策』を選びがちだが、原因が運用不備なら運用で正すのが根本対策である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…G社では情報セキュリティインシデントが発生した際、各部署が個別に対応し、被害状況の集約や対外的な情報発信が混乱した経緯がある…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0003