問題
情報システムにおけるアクセス制御の原則として「最小権限の原則」の説明はどれか。
選択肢
- 1ア すべてのユーザに管理者権限を与える
- 2イ 業務に必要な最小限の権限のみを付与する
- 3ウ 権限を持つユーザは最小限にする
- 4エ 権限の変更を最小限にする
正解
2. イ 業務に必要な最小限の権限のみを付与する
詳しい解説を見る解説を閉じる
解説
正解はイ。最小権限の原則(least privilege)は、利用者やプロセスに対して業務遂行に必要な最小限の権限だけを付与するというアクセス制御の基本原則である。これにより、アカウントが乗っ取られた場合や操作ミスが起きた場合でも、被害や影響の範囲を限定できる。アの全員への管理者権限付与は原則の正反対で、内部不正やマルウェア感染時の被害を最大化してしまう。ウは権限を持つ「人数」の話、エは権限「変更の頻度」の話であり、いずれも付与する権限の範囲を最小にするという本質とは異なる。関連用語として、職務を分けて相互けん制する「職務分掌(職務の分離)」や、必要な人にだけ情報を知らせる「need-to-know」も併せて出題されるため整理しておきたい。
一問一答
科目A 180問+科目B 60問