基本情報技術者試験「アクセス制御」の問題
J社では、社員が部署を異動した際、異動先で必要な権限は新たに付与されるが、異動元で使っていた権限は削除されずに積み重なっていく。長く在籍した社員ほど不要な権限を多数保持している。異動時のアクセス権を適切に保つ対策として、最も適切なものはどれか。
ア過去の業務に再び関わる可能性に備え、異動元で使っていた権限はそのまま残しておく。
イ異動という契機で、異動元で持っていた権限を取り消したうえで異動先に必要な権限へ入れ替える。
ウ保有権限が増えすぎた一部の社員だけを対象に、数年に一度まとめて見直しを行う。
エどの部署でも困らないよう、異動者には全部署に共通の広い権限を与えておく。
正解
イ.異動という契機で、異動元で持っていた権限を取り消したうえで異動先に必要な権限へ入れ替える。
問題は『異動先の付与だけ行い、異動元の権限を削除しないため権限が累積する』点にある。異動という契機で異動元の権限を取り消し、異動先で必要な権限へ切り替える(付け替える)運用にすれば、常に現在の職務に必要な最小限の権限のみが残り、累積を防げる。
?選択肢ごとの解説
ア ×異動元の権限を残すのは累積の原因そのものであり、過去業務への備えという理由で過剰権限を正当化してはならない。
イ ○問題は『異動先の付与だけ行い、異動元の権限を削除しないため権限が累積する』点にある。異動という契機で異動元の権限を取り消し、異動先で必要な権限へ切り替える(付け替える)運用にすれば、常に現在の職務に必要な最小限の権限のみが残り、累積を防げる。
ウ ×数年に一度のまとめ見直しは累積が進んだ後の事後対応で、異動の都度に切り替えないため不要権限が長期間放置される。
エ ×全部署共通の広い権限は最小権限に真っ向から反し、一人がほぼ全業務にアクセスできる極めて危険な状態を作る。
✎くわしく
異動時のアクセス権処理は『付与と取消をセットで行う』ことが要諦である。RBACで役割を付け替えれば権限が自動的に切り替わり、累積(権限のクリープ)を構造的に防げる。契機イベントに連動させるのが定石である。
✓本番での押さえどころ
試験のコツ
異動時は『異動元の権限取消+異動先への切替』で最小権限を維持するのが正解。付与だけでは累積する。
覚え方
異動は『前の制服を脱いで新しい制服を着る』。脱がせずに重ね着させると権限が膨らむ。
よくある誤り
異動先への付与だけ意識して異動元の取消を忘れる『権限の付け足し』が累積を生む典型であり、取消とセットにする発想が抜けやすい。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0082