情報セキュリティ

基本情報技術者試験アクセス制御」の問題

情報セキュリティ情報セキュリティ難易度:normal
L社では、繁忙期に応援要員へ基幹システムの一時的な操作権限を付与している。しかし繁忙期が終わっても権限を取り消す手続が個別の記憶頼みで、過去の応援要員の一時権限がいくつも残っていることが判明した。一時的権限を確実に整理する仕組みとして、最も適切なものはどれか。
一時権限を与えた要員の一覧を作り、繁忙期が明けたら担当者が思い出して削除していく。
次の繁忙期にも再利用できるよう、付与した一時権限は取り消さずそのまま残しておく。
一時権限の付与は口頭で済ませ、削除も必要を感じた時点で随時に行う運用にする。
付与時点で権限に使える期日を結び付け、その期日が来たら有効性を自動で打ち切る。
正解
付与時点で権限に使える期日を結び付け、その期日が来たら有効性を自動で打ち切る。

問題は『一時権限の取消が個別の記憶頼みで漏れる』点にある。付与時に有効期限を設定し、期限が来たら自動的に失効する仕組みにすれば、人の記憶や手作業に依存せず確実に権限が消え、繁忙期後に不要な一時権限が残らない。失効を仕組みで担保するのが要諦である。

?選択肢ごとの解説

ア ×リスト化しても削除を担当者の記憶に頼る限り、思い出せなければ取消漏れが生じ、根本原因である人依存を解消しない。
イ ×再利用のために残す運用は最小権限に反し、繁忙期外に不要な権限が有効なまま放置される危険な状態を恒常化させる。
ウ ×口頭付与と随時削除は記録も基準もなく、付与・削除の双方が曖昧になり、取消漏れをむしろ助長する。
エ ○問題は『一時権限の取消が個別の記憶頼みで漏れる』点にある。付与時に有効期限を設定し、期限が来たら自動的に失効する仕組みにすれば、人の記憶や手作業に依存せず確実に権限が消え、繁忙期後に不要な一時権限が残らない。失効を仕組みで担保するのが要諦である。

くわしく

一時的・例外的な権限は『有効期限による自動失効(時限付与)』を設計に組み込むのが定石である。Just-In-Timeアクセスのように、必要な期間だけ権限を有効化し、自動で回収することで放置と人為的漏れを同時に防ぐ。

本番での押さえどころ

試験のコツ

一時的権限は『有効期限の設定と自動失効』で確実に整理するのが正解。人の記憶頼みの削除は誤りである。

覚え方

一時権限は『時限式の鍵』。期限が来たら自分で施錠する仕組みにすれば消し忘れない。

よくある誤り

リスト管理や随時削除など人手の運用で対応しようとするが、記憶や手作業に依存する限り漏れは不可避であり、自動失効の仕組み化が本質である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0084

【基本情報技術者試験】アクセス制御の問題 — 解答・解説|ukamiru 過去問