情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
F社の店舗では、レジ端末の業務アプリに店舗ごとの共有アカウントでログインし、複数の従業員が同じIDで操作している。返金処理に不正の疑いが生じたが、誰が操作したか共有IDからは特定できない。利便性を保ちつつ操作者を特定できるようにする対策として、最も適切なものはどれか。
店舗の共有アカウントのパスワードを毎週変更し、退職した従業員が後から使えないようにする。
従業員一人ずつに識別子を割り当てて各自の認証でログインさせ、ログに本人の識別子が残るようにする。
返金処理を行う際だけ、その都度に店長が口頭で許可を与える運用を追加する。
レジ端末へ監視カメラを向け、操作している人物が誰かを判別できるよう映像を録画しておく。
正解
従業員一人ずつに識別子を割り当てて各自の認証でログインさせ、ログに本人の識別子が残るようにする。

問題の核心は『共有IDでは誰の操作かログに残らない』点である。従業員ごとに個人アカウントを発行し、それぞれの認証でログインさせれば、各操作がどの個人によるものかログに確実に記録され、不正の特定と抑止につながる。利便性を大きく損なわず責任追跡性を確保できる正攻法である。

?選択肢ごとの解説

ア ×パスワードの定期変更は退職者対策にはなるが、共有IDのままでは在籍中の従業員の操作を個人単位で特定できず、本問の要件を満たさない。
イ ○問題の核心は『共有IDでは誰の操作かログに残らない』点である。従業員ごとに個人アカウントを発行し、それぞれの認証でログインさせれば、各操作がどの個人によるものかログに確実に記録され、不正の特定と抑止につながる。利便性を大きく損なわず責任追跡性を確保できる正攻法である。
ウ ×店長の口頭許可は記録に残らず、許可の有無と実際の操作者の対応づけができないため、操作者特定の手段にならない。
エ ×監視カメラは映像から推測する補助手段に過ぎず、システムログ上で操作者を一意に特定する仕組みにはならず確実性に欠ける。

くわしく

責任追跡性(アカウンタビリティ)の前提は『一人一アカウント』である。共有IDは利便性と引き換えに監査証跡の個人特定を不可能にするため、識別と認証を個人単位に戻すことが根本是正となる。

本番での押さえどころ

試験のコツ

『共有IDで操作者を特定できない』とあれば、一人一アカウント化により責任追跡性を確保するのが正解である。

覚え方

共有IDは『全員同じ顔』。個人アカウントにして初めて『誰がやったか』が顔として残る。

よくある誤り

共有IDのパスワード管理を強化すれば足りると考えるが、共有である限り操作者の個人特定はできないという本質を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0078

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問