基本情報技術者試験「アクセス制御」の問題
I社では、従業員の退職手続でアカウントの無効化を情報システム部門へ依頼しているが、依頼が人事から届くのは退職日の数日後で、その間に退職者が自宅から社内システムへアクセスできる状態が残る。この空白をなくす対策として、最も適切なものはどれか。
ア人事の退職確定情報をアカウント管理の起点にし、退職日の到来をもって失効が走るよう連動させる。
イ後任への引継ぎに使えるよう、退職者のアカウントはすぐ消さず一定期間は有効なまま残しておく。
ウ無効化が間に合わない分は、退職者本人にアカウントを使わないよう依頼し、その順守に委ねる。
エ退職者のアクセスログを後から点検し、不審なアクセスが見つかった場合に事後で対処する。
正解
ア.人事の退職確定情報をアカウント管理の起点にし、退職日の到来をもって失効が走るよう連動させる。
空白の原因は『無効化依頼が退職日より遅れて届く』ことである。人事の退職確定情報とアカウント管理を連動させ、退職日をもって即時に失効させる仕組みにすれば、退職と同時に権限が消え、退職者がアクセスできる期間を一切残さず空白を解消できる。
?選択肢ごとの解説
ア ○空白の原因は『無効化依頼が退職日より遅れて届く』ことである。人事の退職確定情報とアカウント管理を連動させ、退職日をもって即時に失効させる仕組みにすれば、退職と同時に権限が消え、退職者がアクセスできる期間を一切残さず空白を解消できる。
イ ×引継ぎのため有効のまま残す運用は、退職者が在職時の権限でアクセスできる危険な期間を意図的に作り出すため不適切である。
ウ ×本人の依頼順守に委ねるのは技術的・運用的な統制がなく、退職者が有効なアカウントを悪用する可能性を排除できない。
エ ×ログの事後確認は不正アクセスを未然に防げず、空白期間中のアクセス自体を止める対策にならない。
✎くわしく
退職時のアクセス権処理は『退職という契機イベントと失効を時間差なく連動させる』ことが要諦である。人事情報を権限管理の起点にする(HRと連動したプロビジョニング解除)ことで、人手依存の遅延や漏れを排除する。
✓本番での押さえどころ
試験のコツ
退職時は『人事情報と連動した退職日での即時失効』が正解。引継ぎ目的の延長や本人任せは誤りである。
覚え方
退職は『その日に鍵を返す』。人事の退職情報を鍵の自動回収トリガにする。
よくある誤り
引継ぎや利便性を理由に有効期間を残しがちだが、退職者の有効アカウントは内部不正の典型的な経路であり、即時失効が原則である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0081