基本情報技術者試験「アクセス制御」の問題
C社では、利用者が必要な権限をシステム管理者へメールで直接依頼し、管理者が内容の妥当性を判断せずそのまま付与している。後日、本来不要な権限まで付与されていた事例が発覚した。権限付与の妥当性を担保する運用として、最も適切なものはどれか。
ア付与を先に済ませ、後から権限一覧を本人へ送って不要なものがあれば本人に申告させ削除する。
イ管理者は依頼を受け次第すぐに付与し、月末にまとめてその月の妥当性を振り返り点検する。
ウ付与の実施役とは別に、申請者の業務内容を把握する者が必要性を審査し、その承認を前提に付与させる。
エ権限の依頼はメールをやめて口頭で受け付け、依頼から付与までのやり取りを簡素化する。
正解
ウ.付与の実施役とは別に、申請者の業務内容を把握する者が必要性を審査し、その承認を前提に付与させる。
問題は『業務の必要性を判断できない管理者がそのまま付与する』点にある。申請に対し、申請者の業務内容を把握する上長(または資源の責任者)が必要性を審査・承認し、その承認を前提に管理者が技術的に付与する申請・承認の分離フローを設ければ、過剰権限を付与前に防げる。
?選択肢ごとの解説
ア ×付与後に本人へ確認する方式は事後対応であり、不要な権限が一時的にせよ付与される状態を許し、本人申告に依存する点でも確実性に欠ける。
イ ×即時付与して月末に見直す運用は、見直しまでの間に過剰権限が放置され、原因である事前審査の欠如を解消しない。
ウ ○問題は『業務の必要性を判断できない管理者がそのまま付与する』点にある。申請に対し、申請者の業務内容を把握する上長(または資源の責任者)が必要性を審査・承認し、その承認を前提に管理者が技術的に付与する申請・承認の分離フローを設ければ、過剰権限を付与前に防げる。
エ ×口頭受付は記録が残らず妥当性の根拠も追跡できず、簡素化どころか統制をさらに弱めてしまう。
✎くわしく
アクセス権のライフサイクルでは、付与の入口で『必要性の判断』と『技術的な実施』を分離するのが要諦である。業務を知る承認者と権限を操作する管理者が別であることで、相互牽制が働き過剰付与を抑止できる。
✓本番での押さえどころ
試験のコツ
権限付与の妥当性は『業務を知る承認者の事前承認+管理者の付与』という申請承認フローで確保するのが正解である。
覚え方
権限付与は『申請→承認→実施』の三段構え。承認者と実施者を分けるのがコツ。
よくある誤り
管理者を厳しくすれば足りると考えるが、管理者は業務の必要性を判断する立場になく、承認者の関与がなければ妥当性は担保できない。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0075