基本情報技術者試験「アクセス制御」の問題
A社では、新しい業務システムのアクセス権を利用者一人ひとりに個別に設定してきたが、利用者数が数百人規模に増え、似た職務の人に同じ権限を付け忘れたり、誰がどの権限を持つか把握できない混乱が常態化している。付与・管理を効率化しつつ過不足を防ぐ設計として、最も適切なものはどれか。
ア権限の束を職務という中間層にまとめて定義し、利用者へはその束を指定して紐づける構造に切り替える。
イ利用者ごとの個別設定はそのまま続け、設定内容を一覧表に書き出して管理担当が毎月突き合わせ点検する。
ウまず全利用者へ広めの共通権限を一律に渡し、不都合が出た都度に管理担当が個別に絞り込んでいく。
エ権限設定の操作をシステム管理者一人に集約し、利用者からの申請を口頭で受けて随時設定する。
正解
ア.権限の束を職務という中間層にまとめて定義し、利用者へはその束を指定して紐づける構造に切り替える。
問題の本質は『個別設定では数が増えると一貫性と把握性が崩れる』点にある。職務に対応する役割(ロール)へ権限を集約し、利用者には役割を割り当てるロールベースアクセス制御(RBAC)にすれば、同職務には同一の権限が確実に揃い、付け忘れや過剰付与が減り、棚卸しも役割単位で容易になる。
?選択肢ごとの解説
ア ○問題の本質は『個別設定では数が増えると一貫性と把握性が崩れる』点にある。職務に対応する役割(ロール)へ権限を集約し、利用者には役割を割り当てるロールベースアクセス制御(RBAC)にすれば、同職務には同一の権限が確実に揃い、付け忘れや過剰付与が減り、棚卸しも役割単位で容易になる。
イ ×個別設定を維持したままの一覧点検は、混乱の原因である個別管理の煩雑さを残し、事後点検に過ぎないため過不足の発生自体は防げない。
ウ ×広めの共通権限を一律付与する方式は最小権限に反し、過剰権限が常態化して情報漏えいリスクを高めるため不適切である。
エ ×設定を一人に集約し口頭申請で随時対応する運用は属人的で記録も残らず、規模拡大に耐えられず誤設定や統制不能を招く。
✎くわしく
RBACは『人』ではなく『役割』に権限を紐づけることで、利用者数の増加に対して管理対象を役割数に抑える設計思想である。異動時も役割の付け替えだけで権限が切り替わり、最小権限と一貫性の両立に寄与する。
✓本番での押さえどころ
試験のコツ
『利用者個別の権限設定が規模拡大で破綻』とあればRBAC(役割に権限を束ねる)が定石の正解である。
覚え方
RBACは『役職の制服』。人ごとに服を仕立てず、役割の制服を着せれば管理が揃う。
よくある誤り
個別設定を残したまま点検頻度を上げれば足りると考えるが、規模が大きいほど個別管理そのものが破綻する点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0073