情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
K社では複数部署が参加する新製品プロジェクトを進めており、参加者全員が共有フォルダ内のすべての資料を閲覧できるよう設定している。フォルダには一部の参加者しか関与しない価格交渉資料や人事関連資料も含まれている。情報へのアクセスを適切に絞る考え方として、最も適切なものはどれか。
参加者でありさえすれば全資料を見られるのが効率的なので、現在の一律閲覧の設定をそのまま続ける。
資料の重要度に関わらず、閲覧したい参加者がその都度フォルダ管理者へ口頭で申し出る運用にする。
資料ごとに、その情報を職務上扱う必要がある参加者へ閲覧者を絞り込み、それ以外には見せない。
機密性の高い資料はフォルダから外し、紙に印刷して関係者の机上へ置いておく。
正解
資料ごとに、その情報を職務上扱う必要がある参加者へ閲覧者を絞り込み、それ以外には見せない。

問題は『参加者という属性だけで全資料を一律閲覧可能にしている』過剰なアクセスである。各資料を、その情報を職務上知る必要がある参加者だけに限定する『知る必要性(Need to know)の原則』に基づいて範囲を絞れば、価格交渉や人事といった限られた人しか関与しない情報の不必要な拡散を防げる。

?選択肢ごとの解説

ア ×参加者全員に全資料を見せる現状維持は、知る必要のない者にまで機密を開示しており、効率を理由に過剰アクセスを正当化している。
イ ×都度口頭で申し出る運用は記録が残らず統制も不安定で、知る必要性に基づく恒常的なアクセス範囲の設計にならない。
ウ ○問題は『参加者という属性だけで全資料を一律閲覧可能にしている』過剰なアクセスである。各資料を、その情報を職務上知る必要がある参加者だけに限定する『知る必要性(Need to know)の原則』に基づいて範囲を絞れば、価格交渉や人事といった限られた人しか関与しない情報の不必要な拡散を防げる。
エ ×紙に印刷して机上に置く方法は、かえって覗き見や持ち出しのリスクを高め、アクセス範囲を絞るどころか管理を失う。

くわしく

知る必要性の原則(Need to know)は、最小権限を情報単位で具体化した考え方である。役割や所属で一括許可するのではなく、個々の情報について職務上の必要性を基準に閲覧者を限定することで、機密の拡散面を最小化する。

本番での押さえどころ

試験のコツ

『参加者全員に全情報を開示』が過剰な場面では、知る必要性(Need to know)に基づく情報単位の限定が正解である。

覚え方

Need to knowは『必要な人にだけ見せる』。参加者であることと、その情報が要ることは別問題。

よくある誤り

『プロジェクト参加者だから全部見てよい』という所属ベースの発想に陥り、情報ごとの知る必要性を評価する視点が抜ける。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0083

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問