基本情報技術者試験「アクセス制御」の問題
K社では複数部署が参加する新製品プロジェクトを進めており、参加者全員が共有フォルダ内のすべての資料を閲覧できるよう設定している。フォルダには一部の参加者しか関与しない価格交渉資料や人事関連資料も含まれている。情報へのアクセスを適切に絞る考え方として、最も適切なものはどれか。
ア参加者でありさえすれば全資料を見られるのが効率的なので、現在の一律閲覧の設定をそのまま続ける。
イ資料の重要度に関わらず、閲覧したい参加者がその都度フォルダ管理者へ口頭で申し出る運用にする。
ウ資料ごとに、その情報を職務上扱う必要がある参加者へ閲覧者を絞り込み、それ以外には見せない。
エ機密性の高い資料はフォルダから外し、紙に印刷して関係者の机上へ置いておく。
正解
ウ.資料ごとに、その情報を職務上扱う必要がある参加者へ閲覧者を絞り込み、それ以外には見せない。
問題は『参加者という属性だけで全資料を一律閲覧可能にしている』過剰なアクセスである。各資料を、その情報を職務上知る必要がある参加者だけに限定する『知る必要性(Need to know)の原則』に基づいて範囲を絞れば、価格交渉や人事といった限られた人しか関与しない情報の不必要な拡散を防げる。
?選択肢ごとの解説
ア ×参加者全員に全資料を見せる現状維持は、知る必要のない者にまで機密を開示しており、効率を理由に過剰アクセスを正当化している。
イ ×都度口頭で申し出る運用は記録が残らず統制も不安定で、知る必要性に基づく恒常的なアクセス範囲の設計にならない。
ウ ○問題は『参加者という属性だけで全資料を一律閲覧可能にしている』過剰なアクセスである。各資料を、その情報を職務上知る必要がある参加者だけに限定する『知る必要性(Need to know)の原則』に基づいて範囲を絞れば、価格交渉や人事といった限られた人しか関与しない情報の不必要な拡散を防げる。
エ ×紙に印刷して机上に置く方法は、かえって覗き見や持ち出しのリスクを高め、アクセス範囲を絞るどころか管理を失う。
✎くわしく
知る必要性の原則(Need to know)は、最小権限を情報単位で具体化した考え方である。役割や所属で一括許可するのではなく、個々の情報について職務上の必要性を基準に閲覧者を限定することで、機密の拡散面を最小化する。
✓本番での押さえどころ
試験のコツ
『参加者全員に全情報を開示』が過剰な場面では、知る必要性(Need to know)に基づく情報単位の限定が正解である。
覚え方
Need to knowは『必要な人にだけ見せる』。参加者であることと、その情報が要ることは別問題。
よくある誤り
『プロジェクト参加者だから全部見てよい』という所属ベースの発想に陥り、情報ごとの知る必要性を評価する視点が抜ける。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0083