FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:B社では、臨時のデータ集計のために一時的に管理者権限を付与さ…
問題
B社では、臨時のデータ集計のために一時的に管理者権限を付与された担当者が複数いるが、集計作業が終わった後も権限が付与されたままになっている。あるとき、権限が残っていた担当者のアカウントが乗っ取られ、本来不要なはずの広範な操作を実行されてしまった。情報セキュリティリーダーのCさんが権限管理を改善する。
改善として、最も適切なものはどれか。
- ア 管理者権限を付与する際は期間を定め、作業終了後は速やかに権限を取り消す運用にする。(正解)
- イ 管理者権限を持つ担当者のデスクに目印を置く。
- ウ 集計作業の手順書を厚くする。
- エ 担当者のアカウント名を長くする。
- オ 集計結果を必ず2部印刷する。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:管理者権限を付与する際は期間を定め、作業終了後は速やかに権限を取り消す運用にする。
状況の整理:一時的に必要だった権限が、不要になっても残り続けた結果、乗っ取り時の被害が拡大しました。「必要なときだけ・必要な期間だけ」という最小権限の時間軸が欠けています。
なぜアか:付与に期限を設け作業後に取り消せば、乗っ取られても悪用できる権限が残りません。最小権限を時間的にも徹底する対策です。
誤答の理由:イ(目印)・ウ(手順書)・エ(アカウント名)・オ(印刷)は、残存権限という核心に無関係です。
読み解きのコツ:「終わったのに権限が残っている」は、期限付与+作業後取消が答えです。
他の選択肢はなぜ違う?
- イデスクの目印は権限の取り消しにならない。
- ウ手順書を厚くしても残存権限は消えない。
- エアカウント名の長さは無関係。
- オ印刷部数も無関係。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。