FE SUBJECT B
基本情報技術者 科目Bの問題解説
問題
A社の業務システムでは,全社員に管理者権限を含むすべての操作権限が付与されている。本来,給与データの参照は人事部だけ,システム設定の変更は情報システム部だけが行うべきだが,現状では誰でも全データの閲覧・変更・削除ができる。退職した社員のアカウントも残っている。監査でこの点を指摘され,Bさんが権限付与の方針を見直すことにした。
見直しの方針として,最も適切なものはどれか。
- ア 全社員の権限はそのままにし,操作マニュアルを充実させる。
- イ 各利用者には業務上必要な最小限の権限だけを付与し,異動・退職に合わせて権限を棚卸しして不要な権限を削除する。
- ウ 管理者権限を持つ社員の一覧をトップページに掲示する。
- エ 全社員のパスワードを全員同じものに統一する。
- オ 権限の種類を増やして細かく分類するが,付与状況は変えない。
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目B範囲
正解と解説
正解:各利用者には業務上必要な最小限の権限だけを付与し,異動・退職に合わせて権限を棚卸しして不要な権限を削除する。
正解:イ
状況の整理:全員に全権限という過剰付与と,退職者アカウントの放置が問題。誰でも全データを操作でき,内部不正や事故の被害が大きくなる。
なぜイか:必要最小限の権限だけを与える「最小権限の原則」と,定期的な権限棚卸しによって,操作できる範囲と不要アカウントを絞れる。指摘の両方に対応。
誤答の理由:ア・エ・オは過剰権限を放置している。エ(パスワード統一)は論外で安全性を著しく下げる。ウ(一覧掲示)は権限の絞り込みにならない。
読み解きのコツ:「全員に全権限」「退職者アカウント残存」は最小権限+棚卸しが定番の答え。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。