基本情報技術者試験「アクセス制御」の問題
F社の店舗では、レジ端末の業務アプリに店舗ごとの共有アカウントでログインし、複数の従業員が同じIDで操作している。返金処理に不正の疑いが生じたが、誰が操作したか共有IDからは特定できない。利便性を保ちつつ操作者を特定できるようにする対策として、最も適切なものはどれか。
ア店舗の共有アカウントのパスワードを毎週変更し、退職した従業員が後から使えないようにする。
イ従業員一人ずつに識別子を割り当てて各自の認証でログインさせ、ログに本人の識別子が残るようにする。
ウ返金処理を行う際だけ、その都度に店長が口頭で許可を与える運用を追加する。
エレジ端末へ監視カメラを向け、操作している人物が誰かを判別できるよう映像を録画しておく。
正解
イ.従業員一人ずつに識別子を割り当てて各自の認証でログインさせ、ログに本人の識別子が残るようにする。
問題の核心は『共有IDでは誰の操作かログに残らない』点である。従業員ごとに個人アカウントを発行し、それぞれの認証でログインさせれば、各操作がどの個人によるものかログに確実に記録され、不正の特定と抑止につながる。利便性を大きく損なわず責任追跡性を確保できる正攻法である。
?選択肢ごとの解説
ア ×パスワードの定期変更は退職者対策にはなるが、共有IDのままでは在籍中の従業員の操作を個人単位で特定できず、本問の要件を満たさない。
イ ○問題の核心は『共有IDでは誰の操作かログに残らない』点である。従業員ごとに個人アカウントを発行し、それぞれの認証でログインさせれば、各操作がどの個人によるものかログに確実に記録され、不正の特定と抑止につながる。利便性を大きく損なわず責任追跡性を確保できる正攻法である。
ウ ×店長の口頭許可は記録に残らず、許可の有無と実際の操作者の対応づけができないため、操作者特定の手段にならない。
エ ×監視カメラは映像から推測する補助手段に過ぎず、システムログ上で操作者を一意に特定する仕組みにはならず確実性に欠ける。
✎くわしく
責任追跡性(アカウンタビリティ)の前提は『一人一アカウント』である。共有IDは利便性と引き換えに監査証跡の個人特定を不可能にするため、識別と認証を個人単位に戻すことが根本是正となる。
✓本番での押さえどころ
試験のコツ
『共有IDで操作者を特定できない』とあれば、一人一アカウント化により責任追跡性を確保するのが正解である。
覚え方
共有IDは『全員同じ顔』。個人アカウントにして初めて『誰がやったか』が顔として残る。
よくある誤り
共有IDのパスワード管理を強化すれば足りると考えるが、共有である限り操作者の個人特定はできないという本質を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0078