アクセス制御方針

情報セキュリティマネジメント試験最小権限の原則」の問題

情報セキュリティ管理アクセス制御方針難易度:normal
利用者やプロセスに対し、業務遂行に必要な最小限の権限だけを与えるべきとする原則はどれか。
将来の異動も見込み、関連しそうな権限まであらかじめ広く付与しておく原則である。
権限を管理者へ集約し一般利用者へ与えない原則である。
利用者の役職に応じ、上位者ほど全ての権限を自動的に付与するとする原則である。
業務に必要な最小限の権限だけを与える、最小権限(最小限の特権)の原則である。
正解
業務に必要な最小限の権限だけを与える、最小権限(最小限の特権)の原則である。

最小権限の原則は、利用者やプロセスに対し職務遂行上必要な範囲の権限のみを付与し、不要な権限を持たせないことで、誤用や悪用による被害を最小化する考え方である。

?選択肢ごとの解説

ア ×広く先回りして付与するのは過剰権限であり、必要最小限に絞る本問の原則に反する。
イ ×全権限を管理者へ集約し一般利用者へ一切与えないのは極端で、必要分は与える本問の原則と異なる。
ウ ×役職で全権限を自動付与するのは過剰付与であり、業務必要性で絞る本問の原則に反する。
エ ○最小権限の原則は、利用者やプロセスに対し職務遂行上必要な範囲の権限のみを付与し、不要な権限を持たせないことで、誤用や悪用による被害を最小化する考え方である。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a2-w1-0016

【情報セキュリティマネジメント試験】最小権限の原則の問題と解答・解説|ukamiru 過去問