基本情報技術者試験「アクセス制御」の問題
B社では機密文書へのアクセスを役割だけで制御してきたが、同じ役割の社員でも『社内ネットワークからの接続時のみ』『勤務時間内のみ』といった条件で可否を細かく分けたいという要件が新たに生じた。役割だけでは表現しきれないこの要件に最も適した制御方式はどれか。
ア既存の役割を条件の組合せごとに分割し、想定される組合せの数だけ新しい役割を作って割り当てる。
イ利用者・資源・接続元や時刻といった環境の値を条件式で評価し、その都度に可否を導き出す。
ウ機密文書を扱える社員をあらかじめ少数に絞り込み、その社員にはどの条件下でも常に許可を与える。
エアクセスは全員に許可しておき、条件に反する操作はログから事後に検出して警告を出す。
正解
イ.利用者・資源・接続元や時刻といった環境の値を条件式で評価し、その都度に可否を導き出す。
要件は『同一役割でも接続元や時間帯で可否を変える』という文脈依存の制御である。利用者属性・資源属性・環境属性(時刻、接続元など)を組み合わせた条件式で可否を動的判定する属性ベースアクセス制御(ABAC)なら、役割では表現できない多次元の条件を柔軟に扱えるため最適である。
?選択肢ごとの解説
ア ×条件の組合せ分だけ役割を増やすと役割が爆発的に増えて管理不能になり、RBACの利点を失う典型的なアンチパターンである。
イ ○要件は『同一役割でも接続元や時間帯で可否を変える』という文脈依存の制御である。利用者属性・資源属性・環境属性(時刻、接続元など)を組み合わせた条件式で可否を動的判定する属性ベースアクセス制御(ABAC)なら、役割では表現できない多次元の条件を柔軟に扱えるため最適である。
ウ ×扱える社員を限定する案は人の絞り込みに過ぎず、接続元や時間帯という条件での制御という要件そのものを満たさない。
エ ×全員許可で事後検出する方式は不正アクセスを未然に防げず、機密文書の保護として可否制御の要件を満たさない。
✎くわしく
ABACは役割という単一軸ではなく複数の属性を評価して可否を決めるため、きめ細かく動的な制御に適する。RBACは管理が単純で見通しが良い一方、条件が増えると役割が膨張する弱点があり、ABACが補完する。
✓本番での押さえどころ
試験のコツ
『時間帯・接続元など文脈条件で可否を変える』要件は属性ベースアクセス制御(ABAC)が適合する。
覚え方
ABACは『状況で判断』。誰が・何を・いつ・どこから、を属性で見て可否を決める。
よくある誤り
役割を細分化すれば条件制御を実現できると考えるが、条件の掛け合わせで役割数が指数的に増える『ロール爆発』に陥る点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0074