【問261】個人情報保護士 練習問題|アクセス制御
情報セキュリティ 問81/120難易度A(易しい)
問題文
情報システムにおけるアクセス制御に関する記述として、最も適切なものはどれか。
- 1.アクセス権限は業務上必要な最小限の範囲で付与する(最小権限の原則)
- 2.管理者権限は業務効率のため全従業員に付与するのが望ましい
- 3.退職者のアカウントは年度末にまとめて削除すれば問題ない
- 4.アクセス権限の見直しは導入時のみ行えばよい
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
最小権限の原則(Principle of Least Privilege)とは、各ユーザーに業務遂行に必要な最小限のアクセス権限のみを付与する考え方です。これにより、不正アクセスや誤操作によるリスクを最小化できます。
選択肢2 → ❌誤り
管理者権限は強力な操作が可能であり、全従業員に付与するとシステムの改ざんや情報漏えいのリスクが著しく高まります。管理者権限は必要最小限の担当者のみに付与すべきです。
選択肢3 → ❌誤り
退職者のアカウントは退職時に速やかに無効化・削除すべきです。放置すると、退職者や第三者による不正アクセスの経路となります。
選択肢4 → ❌誤り
アクセス権限は人事異動、組織変更、業務内容の変化に応じて定期的に見直す必要があります。不要な権限が残存する「権限の肥大化」を防ぐためです。
背景知識
アクセス制御は情報セキュリティの基本的な対策であり、「識別」「認証」「認可」の3つのプロセスで構成されます。識別はユーザーIDにより利用者を特定し、認証はパスワード等で本人確認を行い、認可は権限に基づいてアクセスを許可・拒否します。アクセス制御のモデルには、任意アクセス制御(DAC)、強制アクセス制御(MAC)、役割ベースアクセス制御(RBAC)などがあります。RBACは役職や職務に応じて権限をグループ化して付与する方式で、管理の効率化と最小権限の原則の両立に有効です。
学習アドバイス
アクセス制御の三要素(識別・認証・認可)と最小権限の原則は基本中の基本です。DAC、MAC、RBACの違いも理解しておくと応用問題にも対応できます。退職者アカウントの即時無効化は実務でも重要なポイントです。
まとめ
- 最小権限の原則により必要最小限のアクセス権限のみを付与する
- 退職者のアカウントは速やかに無効化・削除する
- アクセス権限は定期的に見直し、不要な権限を除去する