情報セキュリティマネジメント試験(SG)の「認証・アクセス管理」分野のオリジナル予想問題を7問、正解と解説つきで無料公開しています。登録なしで読めます。
※ 本サービスは各試験の実施団体とは関係のない非公式の学習サービスで、掲載問題は出題範囲に基づく独自作成(オリジナル)です。
「本人確認(認証)」と「できることの制御(認可・アクセス管理)」を扱う分野です。なりすまし対策の中心です。
認証は「本人だけが持つ何か」で確かめます。要素は知識(パスワード)・所持(ICカード・スマホ)・生体(指紋・顔)の3つで、異なる要素を組み合わせるのが多要素認証(MFA)です。複数システムに一度のログインで入れる仕組みがシングルサインオン(SSO)です。
認証で「誰か」を確かめたら、次は「何をしてよいか」を決める認可・アクセス制御です。役割ごとに権限をまとめるRBACや、必要最小限だけ与える最小権限の原則が基本になります。退職者アカウントの放置など、アカウント管理の不備は頻出の弱点です。
役割(ロール)に権限を割り当て,利用者にロールを付与することでアクセスを管理する方式はどれか。
正解イ。RBACは職務に応じたロールに権限をまとめ,利用者にロールを割り当てる。権限管理が簡潔になり最小権限を実現しやすい。MACはラベルによる強制制御,DACは所有者裁量。
多要素認証の組合せとして適切なものはどれか。
正解ウ。多要素認証は知識・所持・生体の異なる要素を2つ以上組み合わせる。パスワード(知識)とスマホのワンタイムパスワード(所持)が該当。他は同じ要素の重ね。
アクセス権付与における「最小権限の原則」に従った運用はどれか。
正解エ。最小権限の原則は,業務に必要な最小限の権限だけを付与すること。過剰な権限は漏えい・誤操作のリスクを高める。
情報漏えいを防ぐ共有方法として最も適切なものはどれか。
正解イ。機密ファイルは「誰に渡すか」を限定すべき。相手を指定してアクセス権を付与し,期限や権限を絞るのが適切。公開リンクや無制限フォルダは想定外の相手に渡るリスクが高い(最小権限)。
退職時の対応として最も適切なものはどれか。
正解ウ。退職者のアカウント・権限を残すと不正アクセスや情報持出しの温床になる。退職日までに確実に無効化するのが原則(アクセス権の適時見直し)。
改善策として最も適切なものはどれか。
正解イ。共有IDは「誰が操作したか」を特定できず,責任の所在が不明確になる。利用者ごとに個別IDを発行し,操作ログを個人単位で追跡できるようにするのが適切。
二要素認証に該当する組合せはどれか。
正解ウ。二要素認証は「記憶(知識)」「所持」「生体」の異なる2要素を組み合わせる。パスワード(知識)とICカード(所持)は異なる要素。ほかの選択肢はいずれも「知識」だけの組合せで二段階ではあっても二要素にはならない。