情報セキュリティマネジメント試験 過去問解説
システム管理者による内部不正を防止する対策とは?情報セキュリティマネジメント試験 平成28年度春期 午前 問15を解説
情報セキュリティマネジメント試験 平成28年度春期 午前 問15は、システム管理者による内部不正を防止する対策に関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
システム管理者による内部不正を防止する対策として,適切なものはどれか。
この問題の出題ポイント
- システム管理者による内部不正を防止する対策の定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- アシステム管理者が複数の場合にも,一つの管理者 ID でログインして作業を行わせる。
- イシステム管理者には,特権が付与された管理者 ID でログインして,特権を必要としない作業を含む全ての作業を行わせる。
- ウシステム管理者の作業を本人以外の者に監視させる。正解
- エシステム管理者の操作ログには,本人にだけアクセス権を与える。
正解
ウ: システム管理者の作業を本人以外の者に監視させる。
解説
強い権限をもつシステム管理者の不正を防ぐには,作業を本人以外の第三者がチェックする相互監視(職務分掌)が有効である。管理者の作業を本人以外に監視させるウが,牽制が働く対策であり正解である。
なぜ他の選択肢が違うのか
ア
複数の管理者が一つの ID を共用すると,誰が操作したかを特定できず責任追跡性が失われるため不適切である。
イ
特権を必要としない作業まで管理者 ID で行わせると権限濫用や誤操作の影響が大きくなり,最小権限の原則に反する。
ウ(正解)
管理者の作業を本人以外に監視させると相互牽制が働き不正を抑止できるため,正しい。
エ
操作ログへのアクセス権を本人だけに与えると証拠となるログを改ざん・削除でき,かえって不正を助長するため不適切である。
解き方の整理
システム管理者による内部不正を防止する対策の問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。