情報セキュリティ

基本情報技術者試験特権ID管理」の問題

情報セキュリティ情報セキュリティ難易度:hard
N社のサーバ運用では、管理者権限を持つ共用アカウント一つを運用担当数名が日常的に使い回しており、ログには共用アカウント名しか残らない。先日、本番設定が無断で変更されたが、誰が実施したか特定できなかった。特権操作の責任追跡性を確保する対策として、最も適切なものはどれか。
各自の個人IDで申請・承認を経て必要時だけ特権を貸与し、操作者と時刻を残す。
共用アカウントのパスワードを長く複雑な文字列に変え、定期的に更新していく。
共用アカウントを使える運用担当者を、信頼できる少数の正社員だけに絞り込む。
サーバへ接続できる端末を運用担当者のものに限定し、許可IPだけ通す設定にする。
正解
各自の個人IDで申請・承認を経て必要時だけ特権を貸与し、操作者と時刻を残す。

問題の本質は『共用のため操作者を特定できない』点である。特権アクセス管理の考え方で、各担当者が個人IDで申請し承認を経て必要なときだけ特権を一時的に借り、その間の操作者と時刻を記録すれば、すべての特権操作が個人に紐づき責任追跡性(アカウンタビリティ)が確保される。原因に直接対応している。

?選択肢ごとの解説

ア ○問題の本質は『共用のため操作者を特定できない』点である。特権アクセス管理の考え方で、各担当者が個人IDで申請し承認を経て必要なときだけ特権を一時的に借り、その間の操作者と時刻を記録すれば、すべての特権操作が個人に紐づき責任追跡性(アカウンタビリティ)が確保される。原因に直接対応している。
イ ×パスワードを強化しても共用である限りログには共用アカウント名しか残らず、誰が操作したかは依然として特定できない。
ウ ×利用者を信頼できる少数に絞っても、その少数の中の誰が操作したかは区別できず、責任追跡性は得られない。
エ ×接続元IPの制限は外部からの不正接続を防ぐ対策であり、許可された担当者内での操作者を識別する責任追跡性とは論点が異なる。

くわしく

特権ID管理の要点は『最小権限』『必要時のみ』『個人への紐づけ』である。共用アカウントは利便性と引き換えに責任追跡性を失う典型である。個人IDによる申請・貸与・記録の仕組みは、操作と個人を確実に対応づけ、内部不正の抑止と事後追跡を両立させる。

本番での押さえどころ

試験のコツ

特権ID+『誰がやったか特定できない』が論点なら、個人IDでの申請・貸与・操作記録による責任追跡性確保が正解。

覚え方

特権は『鍵の貸出帳』で管理する。誰がいつ借りて何をしたかを必ず帳簿に残す。

よくある誤り

パスワード強化(イ)を選びがちだが、論点は『破られにくさ』ではなく『誰がやったか分かるか』であり、パスワード強度は責任追跡性と無関係である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0026

【基本情報技術者試験】特権ID管理の問題 — 解答・解説|ukamiru 過去問