基本情報技術者試験「アクセス制御」の問題
E社のサーバでは、一般利用者が日常作業に使うアカウントに、必要時だけ管理者権限へ昇格できる仕組みがある。診断で『一般アカウントが奪われると、保存された認証情報を使って容易に管理者権限へ昇格できる』と指摘された。権限昇格を悪用されにくくする対策として、最も適切なものはどれか。
ア昇格の操作時に元の認証とは別の本人確認を改めて求め、その昇格の記録を残して監視する。
イ昇格のたびの手間をなくすため、一般アカウントへ最初から管理者権限を常に与えておく。
ウ一般アカウントのパスワードを長く複雑にし、そもそも奪われにくくすることで対処する。
エ昇格に使う認証情報を、利用者がすぐ呼び出せるよう端末上のファイルに保存しておく。
正解
ア.昇格の操作時に元の認証とは別の本人確認を改めて求め、その昇格の記録を残して監視する。
危険の本質は『一般アカウントの奪取がそのまま管理者権限へ直結する』点にある。昇格時に多要素認証など追加の本人確認を要求し、昇格操作を逐一記録・監視すれば、第二要素を持たない攻撃者は昇格できず、不正な昇格試行も検知できるため、権限昇格の悪用を抑止できる。
?選択肢ごとの解説
ア ○危険の本質は『一般アカウントの奪取がそのまま管理者権限へ直結する』点にある。昇格時に多要素認証など追加の本人確認を要求し、昇格操作を逐一記録・監視すれば、第二要素を持たない攻撃者は昇格できず、不正な昇格試行も検知できるため、権限昇格の悪用を抑止できる。
イ ×管理者権限を常時付与すると最小権限に反し、アカウント奪取が即座に最大被害へつながるため、危険を悪化させる最悪策である。
ウ ×パスワードを長くしても奪取手段はフィッシングやマルウェアなど多様であり、奪われた後に容易に昇格できる構造は変わらない。
エ ×昇格用認証情報を端末ファイルに保存することこそ指摘された問題そのものであり、奪取後の昇格を一層容易にしてしまう。
✎くわしく
権限昇格(特権エスカレーション)対策の要点は、昇格の境界に強い認証と監査を置き、特権を恒常的に持たせない(Just-In-Time権限)ことである。昇格を例外的・一時的な操作として隔離し、痕跡を残すことで悪用を困難にする。
✓本番での押さえどころ
試験のコツ
権限昇格の悪用対策は、昇格時の追加認証+操作の記録・監視、そして特権を常時持たせない設計が正解になりやすい。
覚え方
昇格は『関所を設ける』。普段は通れず、必要時だけ本人確認をして通し、通った記録を残す。
よくある誤り
パスワード強化や利便性優先の常時付与で対処しようとするが、論点は『奪取後に容易に昇格できる構造』であり、昇格の境界を強化することが本質である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0077