情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
C社では、利用者が必要な権限をシステム管理者へメールで直接依頼し、管理者が内容の妥当性を判断せずそのまま付与している。後日、本来不要な権限まで付与されていた事例が発覚した。権限付与の妥当性を担保する運用として、最も適切なものはどれか。
付与を先に済ませ、後から権限一覧を本人へ送って不要なものがあれば本人に申告させ削除する。
管理者は依頼を受け次第すぐに付与し、月末にまとめてその月の妥当性を振り返り点検する。
付与の実施役とは別に、申請者の業務内容を把握する者が必要性を審査し、その承認を前提に付与させる。
権限の依頼はメールをやめて口頭で受け付け、依頼から付与までのやり取りを簡素化する。
正解
付与の実施役とは別に、申請者の業務内容を把握する者が必要性を審査し、その承認を前提に付与させる。

問題は『業務の必要性を判断できない管理者がそのまま付与する』点にある。申請に対し、申請者の業務内容を把握する上長(または資源の責任者)が必要性を審査・承認し、その承認を前提に管理者が技術的に付与する申請・承認の分離フローを設ければ、過剰権限を付与前に防げる。

?選択肢ごとの解説

ア ×付与後に本人へ確認する方式は事後対応であり、不要な権限が一時的にせよ付与される状態を許し、本人申告に依存する点でも確実性に欠ける。
イ ×即時付与して月末に見直す運用は、見直しまでの間に過剰権限が放置され、原因である事前審査の欠如を解消しない。
ウ ○問題は『業務の必要性を判断できない管理者がそのまま付与する』点にある。申請に対し、申請者の業務内容を把握する上長(または資源の責任者)が必要性を審査・承認し、その承認を前提に管理者が技術的に付与する申請・承認の分離フローを設ければ、過剰権限を付与前に防げる。
エ ×口頭受付は記録が残らず妥当性の根拠も追跡できず、簡素化どころか統制をさらに弱めてしまう。

くわしく

アクセス権のライフサイクルでは、付与の入口で『必要性の判断』と『技術的な実施』を分離するのが要諦である。業務を知る承認者と権限を操作する管理者が別であることで、相互牽制が働き過剰付与を抑止できる。

本番での押さえどころ

試験のコツ

権限付与の妥当性は『業務を知る承認者の事前承認+管理者の付与』という申請承認フローで確保するのが正解である。

覚え方

権限付与は『申請→承認→実施』の三段構え。承認者と実施者を分けるのがコツ。

よくある誤り

管理者を厳しくすれば足りると考えるが、管理者は業務の必要性を判断する立場になく、承認者の関与がなければ妥当性は担保できない。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0075

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問