情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
A社では、新しい業務システムのアクセス権を利用者一人ひとりに個別に設定してきたが、利用者数が数百人規模に増え、似た職務の人に同じ権限を付け忘れたり、誰がどの権限を持つか把握できない混乱が常態化している。付与・管理を効率化しつつ過不足を防ぐ設計として、最も適切なものはどれか。
権限の束を職務という中間層にまとめて定義し、利用者へはその束を指定して紐づける構造に切り替える。
利用者ごとの個別設定はそのまま続け、設定内容を一覧表に書き出して管理担当が毎月突き合わせ点検する。
まず全利用者へ広めの共通権限を一律に渡し、不都合が出た都度に管理担当が個別に絞り込んでいく。
権限設定の操作をシステム管理者一人に集約し、利用者からの申請を口頭で受けて随時設定する。
正解
権限の束を職務という中間層にまとめて定義し、利用者へはその束を指定して紐づける構造に切り替える。

問題の本質は『個別設定では数が増えると一貫性と把握性が崩れる』点にある。職務に対応する役割(ロール)へ権限を集約し、利用者には役割を割り当てるロールベースアクセス制御(RBAC)にすれば、同職務には同一の権限が確実に揃い、付け忘れや過剰付与が減り、棚卸しも役割単位で容易になる。

?選択肢ごとの解説

ア ○問題の本質は『個別設定では数が増えると一貫性と把握性が崩れる』点にある。職務に対応する役割(ロール)へ権限を集約し、利用者には役割を割り当てるロールベースアクセス制御(RBAC)にすれば、同職務には同一の権限が確実に揃い、付け忘れや過剰付与が減り、棚卸しも役割単位で容易になる。
イ ×個別設定を維持したままの一覧点検は、混乱の原因である個別管理の煩雑さを残し、事後点検に過ぎないため過不足の発生自体は防げない。
ウ ×広めの共通権限を一律付与する方式は最小権限に反し、過剰権限が常態化して情報漏えいリスクを高めるため不適切である。
エ ×設定を一人に集約し口頭申請で随時対応する運用は属人的で記録も残らず、規模拡大に耐えられず誤設定や統制不能を招く。

くわしく

RBACは『人』ではなく『役割』に権限を紐づけることで、利用者数の増加に対して管理対象を役割数に抑える設計思想である。異動時も役割の付け替えだけで権限が切り替わり、最小権限と一貫性の両立に寄与する。

本番での押さえどころ

試験のコツ

『利用者個別の権限設定が規模拡大で破綻』とあればRBAC(役割に権限を束ねる)が定石の正解である。

覚え方

RBACは『役職の制服』。人ごとに服を仕立てず、役割の制服を着せれば管理が揃う。

よくある誤り

個別設定を残したまま点検頻度を上げれば足りると考えるが、規模が大きいほど個別管理そのものが破綻する点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0073

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問