基本情報技術者試験「アクセス制御」の問題
H社はシステム保守を外部委託しており、委託先の技術者に自社サーバへの保守用アカウントを発行している。委託先では誰がそのアカウントを使うか流動的で、H社は委託先側の担当者の入退社を把握していない。委託先アカウントを安全に管理する対策として、最も適切なものはどれか。
ア委託先へまとめて一つのアカウントを渡し、社内で誰に使わせるかは委託先の裁量に任せる。
イ作業が止まらないよう、委託先アカウントへ保守に必要な範囲を超える権限まで含めて与えておく。
ウ委託先アカウントのパスワードはH社が一度設定したら、変更せず長期間そのまま使い続ける。
エ実際に作業する技術者をH社へ個別に申請させて発行し、その作業期間に限って権限を有効にする。
正解
エ.実際に作業する技術者をH社へ個別に申請させて発行し、その作業期間に限って権限を有効にする。
問題は『委託先で誰が使うか流動的で、H社が把握・統制できていない』点にある。実際に作業する技術者を個別に申請させて個人単位でアカウントを発行し、作業期間に限定して権限を有効化すれば、誰がいつ作業したかを追跡でき、不要な期間の権限を残さず最小権限も守れる。
?選択肢ごとの解説
ア ×委託先裁量の単一アカウントは誰が操作したか追跡できず、委託先の人員変動をH社が把握できないまま不正利用の温床になる。
イ ×必要範囲を超える権限の付与は最小権限に反し、委託先からの情報漏えいや不正操作の被害範囲を不必要に広げる。
ウ ×パスワードを長期間変更しない運用は、委託先の退職者が知り得た情報で後からアクセスできる危険を残す。
エ ○問題は『委託先で誰が使うか流動的で、H社が把握・統制できていない』点にある。実際に作業する技術者を個別に申請させて個人単位でアカウントを発行し、作業期間に限定して権限を有効化すれば、誰がいつ作業したかを追跡でき、不要な期間の権限を残さず最小権限も守れる。
✎くわしく
委託先アカウント管理では、委託元が統制を握ることが要諦である。作業者の個人特定、作業期間に限った時限付与、最小権限、定期的な棚卸しを組み合わせ、委託先の人員変動に左右されない管理を実現する。
✓本番での押さえどころ
試験のコツ
委託先アカウントは『個人単位の発行+作業期間限定の権限+委託元の統制』で管理するのが正解である。
覚え方
委託先アカウントは『来客用の作業許可証』。誰がいつ使うか登録し、作業が終わったら回収する。
よくある誤り
委託先に管理を丸投げすると、入退社の把握漏れや共有利用により追跡性と最小権限が崩れる点を見落とす。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0080