データベース基礎
情報セキュリティマネジメント試験「アクセス権限」の問題
業務システムが使うデータベースのアカウントに対し、情報セキュリティ上適切な権限の与え方はどれか。
ア万一に備え、すべての操作を行える管理者権限を与えておく。
イその処理に必要な最小限の権限だけを与えておくこと。
ウ権限の設定はせず、誰でも自由に操作できるようにしておく。
エ処理に不要な権限も、利便性のため広めに与えておく。
正解
イ.その処理に必要な最小限の権限だけを与えておくこと。
データベースのアカウントには、その処理に必要な最小限の権限だけを与える(最小権限の原則)。過大な権限はSQLインジェクションなどで悪用された際の被害を拡大させるため、必要範囲に絞ることが重要。
?選択肢ごとの解説
ア ×広すぎる権限は悪用時の被害を拡大するため、管理者権限を与える本問の選択は最小権限の考え方に反する。
イ ○データベースのアカウントには、その処理に必要な最小限の権限だけを与える(最小権限の原則)。過大な権限はSQLインジェクションなどで悪用された際の被害を拡大させるため、必要範囲に絞ることが重要。
ウ ×無制限の操作は不正やミスの温床で、自由に操作させる本問の選択はセキュリティ上不適切である。
エ ×不要な権限の付与は攻撃面を広げるため、広めに与える本問の選択は最小権限の原則と矛盾する。
データベース基礎の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-a5-0010
