情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成30年度春期 午前 問7: JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。
←情報セキュリティマネジメント試験 平成30年度春期 午前
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。
問題本文
JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について,情報システムの管理特権を利用した行為はどれか。
選択肢
- ア.許可を受けた営業担当者が,社外から社内の営業システムにアクセスし,業務を行う。
- イ.経営者が,機密性の高い経営情報にアクセスし,経営の意思決定に生かす。
- ウ.システム管理者が,業務システムのプログラムにアクセスし,バージョンアップを行う。
- エ.来訪者が,デモンストレーション用のシステムにアクセスし,システム機能の確認を行う。
正解
ウ. システム管理者が,業務システムのプログラムにアクセスし,バージョンアップを行う。
解説
特権的アクセス権(管理特権)とは,システムやアプリケーションの設定変更・プログラム更新など,一般利用者には許されない管理者レベルの操作を行える権限である。システム管理者が業務システムのプログラムにアクセスしてバージョンアップを行う選択肢ウが,まさに管理特権を利用した行為に該当する。
選択肢ごとの解説
- ア.営業担当者が営業システムにアクセスして業務を行うのは一般利用者としての通常業務であり,管理特権の利用ではない。
- イ.経営者が経営情報を閲覧して意思決定に生かすのは業務上のデータ参照であり,システムの管理特権の利用ではない。
- ウ.システム管理者がプログラムにアクセスしてバージョンアップを行うのは管理者権限を要する行為であり,管理特権を利用した行為に該当する。
- エ.来訪者がデモ用システムの機能を確認するのは一般的な利用行為であり,管理特権の利用ではない。
情報セキュリティマネジメント試験 平成30年度春期 午前 の過去問一覧へ戻る・問7