情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
J社では、社員が部署を異動した際、異動先で必要な権限は新たに付与されるが、異動元で使っていた権限は削除されずに積み重なっていく。長く在籍した社員ほど不要な権限を多数保持している。異動時のアクセス権を適切に保つ対策として、最も適切なものはどれか。
過去の業務に再び関わる可能性に備え、異動元で使っていた権限はそのまま残しておく。
異動という契機で、異動元で持っていた権限を取り消したうえで異動先に必要な権限へ入れ替える。
保有権限が増えすぎた一部の社員だけを対象に、数年に一度まとめて見直しを行う。
どの部署でも困らないよう、異動者には全部署に共通の広い権限を与えておく。
正解
異動という契機で、異動元で持っていた権限を取り消したうえで異動先に必要な権限へ入れ替える。

問題は『異動先の付与だけ行い、異動元の権限を削除しないため権限が累積する』点にある。異動という契機で異動元の権限を取り消し、異動先で必要な権限へ切り替える(付け替える)運用にすれば、常に現在の職務に必要な最小限の権限のみが残り、累積を防げる。

?選択肢ごとの解説

ア ×異動元の権限を残すのは累積の原因そのものであり、過去業務への備えという理由で過剰権限を正当化してはならない。
イ ○問題は『異動先の付与だけ行い、異動元の権限を削除しないため権限が累積する』点にある。異動という契機で異動元の権限を取り消し、異動先で必要な権限へ切り替える(付け替える)運用にすれば、常に現在の職務に必要な最小限の権限のみが残り、累積を防げる。
ウ ×数年に一度のまとめ見直しは累積が進んだ後の事後対応で、異動の都度に切り替えないため不要権限が長期間放置される。
エ ×全部署共通の広い権限は最小権限に真っ向から反し、一人がほぼ全業務にアクセスできる極めて危険な状態を作る。

くわしく

異動時のアクセス権処理は『付与と取消をセットで行う』ことが要諦である。RBACで役割を付け替えれば権限が自動的に切り替わり、累積(権限のクリープ)を構造的に防げる。契機イベントに連動させるのが定石である。

本番での押さえどころ

試験のコツ

異動時は『異動元の権限取消+異動先への切替』で最小権限を維持するのが正解。付与だけでは累積する。

覚え方

異動は『前の制服を脱いで新しい制服を着る』。脱がせずに重ね着させると権限が膨らむ。

よくある誤り

異動先への付与だけ意識して異動元の取消を忘れる『権限の付け足し』が累積を生む典型であり、取消とセットにする発想が抜けやすい。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0082

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問