アクセス制御
情報セキュリティマネジメント試験「アクセス権の棚卸し」の問題
M社は通信販売を営む従業員約300名の企業で、顧客の氏名・住所・購入履歴を扱う。情報システム部のN課長がセキュリティ運用を統括し、社内CSIRTを兼ねる。最近、取引先を装ったメールや在宅勤務の拡大に伴う持出し端末の管理が課題となっている。
監査で、すでに異動・退職した複数の元担当者のアカウントが顧客データベースへアクセスできる状態のまま残っていることが判明した。N課長が再発防止のため定常的に行うべき管理活動はどれか。
ア全利用者のパスワードを定期的により長く複雑なものへ変更させる。
イ顧客データベースのバックアップ取得の頻度をこれまでより増やす。
ウ社内ネットワークの通信を監視し不審な外部通信を検知できるようにする。
エ定期的に付与状況を棚卸しし、不要になったものを見直して削除する。
正解
エ.定期的に付与状況を棚卸しし、不要になったものを見直して削除する。
異動・退職者の権限が残るのは権限管理の不備。定期的な棚卸し(レビュー)で「誰が何にアクセスできるか」を見直し、業務上不要になった権限を削除すれば、最小権限を保ち再発を防げる。
?選択肢ごとの解説
ア ×パスワード強化は別目的の対策で、不要になった権限が残る本問の問題そのものを解消する活動ではない。
イ ×バックアップ強化は可用性の対策で、退職者の権限が残る本問の根本原因に対処する管理活動ではない。
ウ ×通信監視は侵入検知に有効だが、内部の不要権限を整理する本問の再発防止策とは着眼点が異なる。
エ ○異動・退職者の権限が残るのは権限管理の不備。定期的な棚卸し(レビュー)で「誰が何にアクセスできるか」を見直し、業務上不要になった権限を削除すれば、最小権限を保ち再発を防げる。
アクセス制御の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei-0004
