【問228】個人情報保護士 練習問題|退職時のアクセス権管理
情報セキュリティ 問48/120難易度C(難しい)
問題文
従業員の退職時におけるアクセス権管理として、最も適切なものはどれか。
- 1.退職日の翌月末にまとめてアカウントを削除する
- 2.退職者のアカウントは削除せず、パスワードのみ変更する
- 3.退職日当日または退職前にアカウントの無効化・削除を行う
- 4.退職者のアカウントは引継ぎのため、後任者がそのまま使用する
解説
正解
正解は選択肢3です。
各選択肢の解説
選択肢1 → ❌誤り
翌月末まで放置すると、退職者がアカウントを不正利用するリスクがあります。速やかな対応が必要です。
選択肢2 → ❌誤り
アカウントを残したままにすると、管理が煩雑になり不正利用のリスクが残ります。不要なアカウントは削除すべきです。
選択肢3 → ✅正解
退職日当日または退職前にアカウントを無効化・削除することで、退職後の不正アクセスリスクを排除できます。
選択肢4 → ❌誤り
アカウントの共有や使い回しはセキュリティ上禁止すべきです。後任者には新たにアカウントを発行すべきです。
背景知識
退職時のアクセス権管理は、人的安全管理措置の重要な要素です。退職者のアカウントが有効なまま放置されると、退職後に不正アクセスが行われるリスクがあります。退職日当日(可能であれば退職前の最終勤務日)にアカウントの無効化・削除を行い、すべてのシステムへのアクセス権限を確実に剥奪することが求められます。また、アカウントの使い回しは個人の行動を追跡できなくなるため、セキュリティ管理上禁止すべき行為です。
学習アドバイス
退職時のアクセス権管理は「速やかに」行うことがポイントです。アカウントの共有・使い回しが禁止される理由(追跡性の確保)も理解しておきましょう。
まとめ
- 退職日当日にアカウントを無効化・削除する
- アカウントの共有や使い回しはセキュリティ上禁止
- 後任者には新たなアカウントを発行する