データベース基礎

情報セキュリティマネジメント試験アクセス権限」の問題

テクノロジ・マネジメント基礎データベース基礎難易度:normal
業務システムが使うデータベースのアカウントに対し、情報セキュリティ上適切な権限の与え方はどれか。
万一に備え、すべての操作を行える管理者権限を与えておく。
その処理に必要な最小限の権限だけを与えておくこと。
権限の設定はせず、誰でも自由に操作できるようにしておく。
処理に不要な権限も、利便性のため広めに与えておく。
正解
その処理に必要な最小限の権限だけを与えておくこと。

データベースのアカウントには、その処理に必要な最小限の権限だけを与える(最小権限の原則)。過大な権限はSQLインジェクションなどで悪用された際の被害を拡大させるため、必要範囲に絞ることが重要。

?選択肢ごとの解説

ア ×広すぎる権限は悪用時の被害を拡大するため、管理者権限を与える本問の選択は最小権限の考え方に反する。
イ ○データベースのアカウントには、その処理に必要な最小限の権限だけを与える(最小権限の原則)。過大な権限はSQLインジェクションなどで悪用された際の被害を拡大させるため、必要範囲に絞ることが重要。
ウ ×無制限の操作は不正やミスの温床で、自由に操作させる本問の選択はセキュリティ上不適切である。
エ ×不要な権限の付与は攻撃面を広げるため、広めに与える本問の選択は最小権限の原則と矛盾する。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a5-0010

【情報セキュリティマネジメント試験】アクセス権限の問題と解答・解説|ukamiru 過去問