情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
I社では、従業員の退職手続でアカウントの無効化を情報システム部門へ依頼しているが、依頼が人事から届くのは退職日の数日後で、その間に退職者が自宅から社内システムへアクセスできる状態が残る。この空白をなくす対策として、最も適切なものはどれか。
人事の退職確定情報をアカウント管理の起点にし、退職日の到来をもって失効が走るよう連動させる。
後任への引継ぎに使えるよう、退職者のアカウントはすぐ消さず一定期間は有効なまま残しておく。
無効化が間に合わない分は、退職者本人にアカウントを使わないよう依頼し、その順守に委ねる。
退職者のアクセスログを後から点検し、不審なアクセスが見つかった場合に事後で対処する。
正解
人事の退職確定情報をアカウント管理の起点にし、退職日の到来をもって失効が走るよう連動させる。

空白の原因は『無効化依頼が退職日より遅れて届く』ことである。人事の退職確定情報とアカウント管理を連動させ、退職日をもって即時に失効させる仕組みにすれば、退職と同時に権限が消え、退職者がアクセスできる期間を一切残さず空白を解消できる。

?選択肢ごとの解説

ア ○空白の原因は『無効化依頼が退職日より遅れて届く』ことである。人事の退職確定情報とアカウント管理を連動させ、退職日をもって即時に失効させる仕組みにすれば、退職と同時に権限が消え、退職者がアクセスできる期間を一切残さず空白を解消できる。
イ ×引継ぎのため有効のまま残す運用は、退職者が在職時の権限でアクセスできる危険な期間を意図的に作り出すため不適切である。
ウ ×本人の依頼順守に委ねるのは技術的・運用的な統制がなく、退職者が有効なアカウントを悪用する可能性を排除できない。
エ ×ログの事後確認は不正アクセスを未然に防げず、空白期間中のアクセス自体を止める対策にならない。

くわしく

退職時のアクセス権処理は『退職という契機イベントと失効を時間差なく連動させる』ことが要諦である。人事情報を権限管理の起点にする(HRと連動したプロビジョニング解除)ことで、人手依存の遅延や漏れを排除する。

本番での押さえどころ

試験のコツ

退職時は『人事情報と連動した退職日での即時失効』が正解。引継ぎ目的の延長や本人任せは誤りである。

覚え方

退職は『その日に鍵を返す』。人事の退職情報を鍵の自動回収トリガにする。

よくある誤り

引継ぎや利便性を理由に有効期間を残しがちだが、退職者の有効アカウントは内部不正の典型的な経路であり、即時失効が原則である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0081

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問