情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:hard
B社では機密文書へのアクセスを役割だけで制御してきたが、同じ役割の社員でも『社内ネットワークからの接続時のみ』『勤務時間内のみ』といった条件で可否を細かく分けたいという要件が新たに生じた。役割だけでは表現しきれないこの要件に最も適した制御方式はどれか。
既存の役割を条件の組合せごとに分割し、想定される組合せの数だけ新しい役割を作って割り当てる。
利用者・資源・接続元や時刻といった環境の値を条件式で評価し、その都度に可否を導き出す。
機密文書を扱える社員をあらかじめ少数に絞り込み、その社員にはどの条件下でも常に許可を与える。
アクセスは全員に許可しておき、条件に反する操作はログから事後に検出して警告を出す。
正解
利用者・資源・接続元や時刻といった環境の値を条件式で評価し、その都度に可否を導き出す。

要件は『同一役割でも接続元や時間帯で可否を変える』という文脈依存の制御である。利用者属性・資源属性・環境属性(時刻、接続元など)を組み合わせた条件式で可否を動的判定する属性ベースアクセス制御(ABAC)なら、役割では表現できない多次元の条件を柔軟に扱えるため最適である。

?選択肢ごとの解説

ア ×条件の組合せ分だけ役割を増やすと役割が爆発的に増えて管理不能になり、RBACの利点を失う典型的なアンチパターンである。
イ ○要件は『同一役割でも接続元や時間帯で可否を変える』という文脈依存の制御である。利用者属性・資源属性・環境属性(時刻、接続元など)を組み合わせた条件式で可否を動的判定する属性ベースアクセス制御(ABAC)なら、役割では表現できない多次元の条件を柔軟に扱えるため最適である。
ウ ×扱える社員を限定する案は人の絞り込みに過ぎず、接続元や時間帯という条件での制御という要件そのものを満たさない。
エ ×全員許可で事後検出する方式は不正アクセスを未然に防げず、機密文書の保護として可否制御の要件を満たさない。

くわしく

ABACは役割という単一軸ではなく複数の属性を評価して可否を決めるため、きめ細かく動的な制御に適する。RBACは管理が単純で見通しが良い一方、条件が増えると役割が膨張する弱点があり、ABACが補完する。

本番での押さえどころ

試験のコツ

『時間帯・接続元など文脈条件で可否を変える』要件は属性ベースアクセス制御(ABAC)が適合する。

覚え方

ABACは『状況で判断』。誰が・何を・いつ・どこから、を属性で見て可否を決める。

よくある誤り

役割を細分化すれば条件制御を実現できると考えるが、条件の掛け合わせで役割数が指数的に増える『ロール爆発』に陥る点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0074

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問