アクセス制御

情報セキュリティマネジメント試験最小権限」の問題

情報セキュリティ対策・実装技術アクセス制御難易度:normal
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。 開発メンバー全員に本番環境への強い操作権限が付与されたままになっていた。Q主任が見直すべき方針はどれか。
全員に管理者権限を与えたまま、利便性を優先しておく。
権限の設定はやめ、誰でも本番を操作できるようにする。
本番環境の画面の配色を変えて見やすくしておく。
各自の業務に本当に必要な最小限の権限だけに見直す。
正解
各自の業務に本当に必要な最小限の権限だけに見直す。

全員に強い権限が残るのは権限管理の不備。各自の業務に必要な最小限の権限だけに絞る(最小権限の原則)ことで、資格情報の悪用や誤操作が起きても本番への被害を狭い範囲に抑えられる。

?選択肢ごとの解説

ア ×全員への強い権限は悪用や誤操作時の被害を広げるため、利便性優先とする本問の方針は適切でない。
イ ×無制限の操作は重大なリスクで、誰でも操作可とする本問の方針はセキュリティ上不適切である。
ウ ×配色の変更は見た目の話で、過大な権限を是正する本問の方針とは無関係である。
エ ○全員に強い権限が残るのは権限管理の不備。各自の業務に必要な最小限の権限だけに絞る(最小権限の原則)ことで、資格情報の悪用や誤操作が起きても本番への被害を狭い範囲に抑えられる。
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。

情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0012

【情報セキュリティマネジメント試験】最小権限の問題と解答・解説|ukamiru 過去問