アクセス制御
情報セキュリティマネジメント試験「最小権限」の問題
P社は会員向けWebサービスを自社開発・運用する従業員約120名のIT企業である。利用者の個人情報を扱い、開発チームはクラウド上に構築した環境で在宅勤務を交えて作業している。Q主任が技術面のセキュリティを担当し、公開Webアプリの安全性と、社外からの開発環境への接続の安全確保が課題となっている。
開発メンバー全員に本番環境への強い操作権限が付与されたままになっていた。Q主任が見直すべき方針はどれか。
ア全員に管理者権限を与えたまま、利便性を優先しておく。
イ権限の設定はやめ、誰でも本番を操作できるようにする。
ウ本番環境の画面の配色を変えて見やすくしておく。
エ各自の業務に本当に必要な最小限の権限だけに見直す。
正解
エ.各自の業務に本当に必要な最小限の権限だけに見直す。
全員に強い権限が残るのは権限管理の不備。各自の業務に必要な最小限の権限だけに絞る(最小権限の原則)ことで、資格情報の悪用や誤操作が起きても本番への被害を狭い範囲に抑えられる。
?選択肢ごとの解説
ア ×全員への強い権限は悪用や誤操作時の被害を広げるため、利便性優先とする本問の方針は適切でない。
イ ×無制限の操作は重大なリスクで、誰でも操作可とする本問の方針はセキュリティ上不適切である。
ウ ×配色の変更は見た目の話で、過大な権限を是正する本問の方針とは無関係である。
エ ○全員に強い権限が残るのは権限管理の不備。各自の業務に必要な最小限の権限だけに絞る(最小権限の原則)ことで、資格情報の悪用や誤操作が起きても本番への被害を狭い範囲に抑えられる。
アクセス制御の他の問題
この問題の「深掘り・誤答の完全解説・試験のコツ・覚え方」はアプリで。
無料ではじめる →情報セキュリティマネジメント試験の全問を、一問ごとにAIの8-ways解説つきで。SRS暗記カード・全真模試・弱点診断まで。まずは無料で。
ukamiru 過去問 · 情報セキュリティマネジメント試験 · sg-b-jirei2-0012
