FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:A社の業務システムでは、全社員に管理者権限を含むすべての操作…
問題
A社の業務システムでは、全社員に管理者権限を含むすべての操作権限が付与されている。本来、給与データの参照は人事部だけ、システム設定の変更は情報システム部だけが行うべきだが、現状では誰でも全データの閲覧・変更・削除ができる。退職した社員のアカウントも残っている。監査でこの点を指摘され、Bさんが権限付与の方針を見直すことにした。
見直しの方針として、最も適切なものはどれか。
- ア 全社員の権限はそのままにし、操作マニュアルを充実させる。
- イ 各利用者には業務上必要な最小限の権限だけを付与し、異動・退職に合わせて権限を棚卸しして不要な権限を削除する。(正解)
- ウ 管理者権限を持つ社員の一覧をトップページに掲示する。
- エ 全社員のパスワードを全員同じものに統一する。
- オ 権限の種類を増やして細かく分類するが、付与状況は変えない。
正解と解説
正解:各利用者には業務上必要な最小限の権限だけを付与し、異動・退職に合わせて権限を棚卸しして不要な権限を削除する。
状況の整理:全員に全権限という過剰付与と、退職者アカウントの放置が問題です。誰でも全データを操作でき、内部不正や事故の被害が大きくなってしまいます。
なぜイか:必要最小限の権限だけを与える「最小権限の原則」と、定期的な権限棚卸しによって、操作できる範囲と不要アカウントを絞れます。指摘の両方に対応できます。
誤答の理由:ア・エ・オは過剰権限を放置しています。エ(パスワード統一)は論外で安全性を著しく下げます。ウ(一覧掲示)は権限の絞り込みになりません。
読み解きのコツ:「全員に全権限」「退職者アカウント残存」は最小権限+棚卸しが定番の答えです。
他の選択肢はなぜ違う?
- アマニュアル充実では過剰権限と退職者アカウントの放置は解消しない。
- ウ管理者一覧の掲示は権限の絞り込みにならない。
- エ全員同一パスワードは深刻な改悪。
- オ権限の種類を増やしても付与状況を変えなければ過剰権限は残る。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。