基本情報技術者試験「アクセス制御」の問題
L社では、繁忙期に応援要員へ基幹システムの一時的な操作権限を付与している。しかし繁忙期が終わっても権限を取り消す手続が個別の記憶頼みで、過去の応援要員の一時権限がいくつも残っていることが判明した。一時的権限を確実に整理する仕組みとして、最も適切なものはどれか。
ア一時権限を与えた要員の一覧を作り、繁忙期が明けたら担当者が思い出して削除していく。
イ次の繁忙期にも再利用できるよう、付与した一時権限は取り消さずそのまま残しておく。
ウ一時権限の付与は口頭で済ませ、削除も必要を感じた時点で随時に行う運用にする。
エ付与時点で権限に使える期日を結び付け、その期日が来たら有効性を自動で打ち切る。
正解
エ.付与時点で権限に使える期日を結び付け、その期日が来たら有効性を自動で打ち切る。
問題は『一時権限の取消が個別の記憶頼みで漏れる』点にある。付与時に有効期限を設定し、期限が来たら自動的に失効する仕組みにすれば、人の記憶や手作業に依存せず確実に権限が消え、繁忙期後に不要な一時権限が残らない。失効を仕組みで担保するのが要諦である。
?選択肢ごとの解説
ア ×リスト化しても削除を担当者の記憶に頼る限り、思い出せなければ取消漏れが生じ、根本原因である人依存を解消しない。
イ ×再利用のために残す運用は最小権限に反し、繁忙期外に不要な権限が有効なまま放置される危険な状態を恒常化させる。
ウ ×口頭付与と随時削除は記録も基準もなく、付与・削除の双方が曖昧になり、取消漏れをむしろ助長する。
エ ○問題は『一時権限の取消が個別の記憶頼みで漏れる』点にある。付与時に有効期限を設定し、期限が来たら自動的に失効する仕組みにすれば、人の記憶や手作業に依存せず確実に権限が消え、繁忙期後に不要な一時権限が残らない。失効を仕組みで担保するのが要諦である。
✎くわしく
一時的・例外的な権限は『有効期限による自動失効(時限付与)』を設計に組み込むのが定石である。Just-In-Timeアクセスのように、必要な期間だけ権限を有効化し、自動で回収することで放置と人為的漏れを同時に防ぐ。
✓本番での押さえどころ
試験のコツ
一時的権限は『有効期限の設定と自動失効』で確実に整理するのが正解。人の記憶頼みの削除は誤りである。
覚え方
一時権限は『時限式の鍵』。期限が来たら自分で施錠する仕組みにすれば消し忘れない。
よくある誤り
リスト管理や随時削除など人手の運用で対応しようとするが、記憶や手作業に依存する限り漏れは不可避であり、自動失効の仕組み化が本質である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0084