IT PASSPORT
ITパスポートの問題解説
問題
利用者やシステムに与える権限は、業務を遂行するうえで必要な最小限の範囲にとどめるべきだとする、情報セキュリティの基本的な考え方はどれか。
- ア フェールセーフ
- イ 最小権限の原則
- ウ フールプルーフ
- エ 多重防御
出典:オリジナル問題|参考範囲:IPA ITパスポート試験シラバス(最新版)、情報処理技術者試験の基礎知識
正解と解説
正解:最小権限の原則
解説:最小権限の原則(least privilege)は、利用者やプログラムに対して、その役目を果たすのにどうしても必要な権限だけを与え、それ以上は与えないという基本方針です。たとえば閲覧だけが必要な担当者に削除や設定変更の権限まで付けてしまうと、誤操作による事故や、アカウントが乗っ取られた際の被害が大きくなります。権限を絞っておけば、万一不正利用されても影響範囲を小さく抑えられます。ロールベースアクセス制御や定期的な権限の棚卸しと組み合わせて実践されます。
覚え方:『必要なぶんだけ・余計な権限は持たせない』が核心です。安全側に倒すフェールセーフ、ミスを防ぐフールプルーフと混同しないよう、対象が“権限”である点に注目しましょう。
他の選択肢はなぜ違う?
- アフェールセーフは故障や異常が起きたときに安全側に動作させる設計思想で、権限を必要最小限に絞るという考え方とは目的が異なります。
- ウフールプルーフは利用者が誤った操作をしても危険な結果にならないようにする設計の工夫で、アクセス権限の範囲を最小化する原則ではありません。
- エ多重防御は複数の対策を重ねて被害を防ぐ考え方で、与える権限を必要最小限にとどめるという最小権限の原則とは別の概念です。
この問題について
IPAのITパスポート試験シラバスとIT基礎知識を参考に、Sikaku Master向けに独自作成した問題です。公式試験問題・過去問題の転載ではありません。
IPAの過去問題の転載ではなく、シラバス・公開情報に基づく独自問題として作成しています。