【問270】個人情報保護士 練習問題|特権ID管理
情報セキュリティ 問90/120難易度C(難しい)
問題文
特権ID(管理者権限アカウント)の管理に関する次の記述のうち、最も適切なものはどれか。
- 1.特権IDは業務効率化のため、チーム全員で共有して利用すべきである
- 2.特権IDの利用時は、操作内容を記録するログの取得と定期的な監査が重要である
- 3.特権IDのパスワードは記憶しやすいように短く単純なものを設定する
- 4.特権IDは一度付与したら業務変更があっても見直す必要はない
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
特権IDの共有は、操作の責任追跡性(アカウンタビリティ)を失わせるため不適切です。個人ごとに管理者アカウントを割り当て、誰がいつ何を操作したか追跡可能にすべきです。
選択肢2 → ✅正解
特権IDは強力な権限を持つため、利用時の操作ログを記録し、定期的に監査することで不正利用の検知と抑止を図ることが重要です。
選択肢3 → ❌誤り
特権IDは一般のアカウント以上に強力なパスワードを設定すべきです。短く単純なパスワードは不正アクセスのリスクを高めます。
選択肢4 → ❌誤り
人事異動や業務変更があった場合、特権IDの必要性を見直し、不要になった権限は速やかに削除すべきです(定期的な棚卸し)。
背景知識
特権ID管理は、情報セキュリティにおいて極めて重要な領域です。特権IDが不正利用されると、個人データの大量窃取やシステム全体の破壊など甚大な被害が発生する可能性があります。PAM(Privileged Access Management)ツールの導入により、特権IDの貸出管理、操作記録、パスワードの自動変更などを行うことが推奨されています。また、必要な時だけ特権を付与する「Just-In-Time」方式も有効な手法です。
学習アドバイス
特権ID管理の4つの基本原則「個人への割当」「操作ログの記録」「定期的な棚卸し」「強力なパスワード設定」を覚えましょう。共有や常時付与が不適切である理由も説明できるようにしておきましょう。
まとめ
- 特権IDは個人に割り当て、共有利用は避ける
- 操作ログの記録と定期的な監査で不正利用を検知・抑止する
- 人事異動時には特権IDの棚卸しを実施し、不要な権限を削除する