基本情報技術者試験「特権ID管理」の問題
N社のサーバ運用では、管理者権限を持つ共用アカウント一つを運用担当数名が日常的に使い回しており、ログには共用アカウント名しか残らない。先日、本番設定が無断で変更されたが、誰が実施したか特定できなかった。特権操作の責任追跡性を確保する対策として、最も適切なものはどれか。
ア各自の個人IDで申請・承認を経て必要時だけ特権を貸与し、操作者と時刻を残す。
イ共用アカウントのパスワードを長く複雑な文字列に変え、定期的に更新していく。
ウ共用アカウントを使える運用担当者を、信頼できる少数の正社員だけに絞り込む。
エサーバへ接続できる端末を運用担当者のものに限定し、許可IPだけ通す設定にする。
正解
ア.各自の個人IDで申請・承認を経て必要時だけ特権を貸与し、操作者と時刻を残す。
問題の本質は『共用のため操作者を特定できない』点である。特権アクセス管理の考え方で、各担当者が個人IDで申請し承認を経て必要なときだけ特権を一時的に借り、その間の操作者と時刻を記録すれば、すべての特権操作が個人に紐づき責任追跡性(アカウンタビリティ)が確保される。原因に直接対応している。
?選択肢ごとの解説
ア ○問題の本質は『共用のため操作者を特定できない』点である。特権アクセス管理の考え方で、各担当者が個人IDで申請し承認を経て必要なときだけ特権を一時的に借り、その間の操作者と時刻を記録すれば、すべての特権操作が個人に紐づき責任追跡性(アカウンタビリティ)が確保される。原因に直接対応している。
イ ×パスワードを強化しても共用である限りログには共用アカウント名しか残らず、誰が操作したかは依然として特定できない。
ウ ×利用者を信頼できる少数に絞っても、その少数の中の誰が操作したかは区別できず、責任追跡性は得られない。
エ ×接続元IPの制限は外部からの不正接続を防ぐ対策であり、許可された担当者内での操作者を識別する責任追跡性とは論点が異なる。
✎くわしく
特権ID管理の要点は『最小権限』『必要時のみ』『個人への紐づけ』である。共用アカウントは利便性と引き換えに責任追跡性を失う典型である。個人IDによる申請・貸与・記録の仕組みは、操作と個人を確実に対応づけ、内部不正の抑止と事後追跡を両立させる。
✓本番での押さえどころ
試験のコツ
特権ID+『誰がやったか特定できない』が論点なら、個人IDでの申請・貸与・操作記録による責任追跡性確保が正解。
覚え方
特権は『鍵の貸出帳』で管理する。誰がいつ借りて何をしたかを必ず帳簿に残す。
よくある誤り
パスワード強化(イ)を選びがちだが、論点は『破られにくさ』ではなく『誰がやったか分かるか』であり、パスワード強度は責任追跡性と無関係である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0026