セキュリティ実装技術 (全37問中11問目)
No.11
利用者情報を格納しているデータベースから利用者情報を検索して表示する機能だけをもつアプリケーションがある。このアプリケーションがデータベースにアクセスするときに用いるアカウントに与えるデータベースへのアクセス権限として,情報セキュリティ管理上,適切なものはどれか。ここで,権限の名称と権限の範囲は次のとおりとする。
〔権限の名称と権限の範囲〕
参照権限: レコードの参照が可能
更新権限: レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
〔権限の名称と権限の範囲〕
参照権限: レコードの参照が可能
更新権限: レコードの登録,変更,削除が可能
管理者権限:テーブルの参照,登録,変更,削除が可能
出典:平成30年春期 問43
- 管理者権限
- 更新権限
- 更新権限と参照権限
- 参照権限
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
エ
解説
権限付与に対する基本的な考え方に「最小権限の原則」というものがあります。これは、情報に対する権限は、それが必要である者に対してのみ与え、必要のない者には与えないという考え方です。
設問のアプリケーションは「検索して表示する機能だけをもつ」ので、そのアプリケーションが用いるアカウントに必要な操作は「レコードの参照」だけです。このため最小権限の原則に従って参照権限のみを付与するのが最も適切な設定です。更新権限や管理者権限の付与は、過度な権限付与となり情報セキュリティ上のリスクになり得ます。
したがって「エ」が正解です。
設問のアプリケーションは「検索して表示する機能だけをもつ」ので、そのアプリケーションが用いるアカウントに必要な操作は「レコードの参照」だけです。このため最小権限の原則に従って参照権限のみを付与するのが最も適切な設定です。更新権限や管理者権限の付与は、過度な権限付与となり情報セキュリティ上のリスクになり得ます。
したがって「エ」が正解です。