表に示すテーブルX、Yへのアクセス要件に関して、JIS Q 27001:2006(USO/IEC 27001:2005)が示す“完全性”の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。
| テーブル | アクセス要件 | ||||
| X(注文テーブル) |
|
||||
| Y(仕入マスタテーブル) |
|
| ア | GRANT INSERT ON Y TO A | イ | GRANT INSERT ON Y TO B | |
| ウ | GRANT SELECTT ON X TO A | エ | GRANT SELECT ON X TO B |
答え ア
【解説】
| ア | “GRANT INSERT ON Y TO A”は、テーブルYにデータを追加する権限を利用者Aに与えるという意味で、利用者AはテーブルYを参照しかしないのに追加できてしまうため、“完全性”の観点で問題があります。 |
| イ | “GRANT INSERT ON Y TO B”は、テーブルYにデータを追加する権限を利用者Bに与えるという意味で、利用者BはテーブルYのメンテナンスを行うので適切な権限付与です。 |
| ウ | “GRANT SELECT ON X TO A”は、テーブルXを検索する権限を利用者Aに与えるという意味で、利用者AはテーブルAの入力をするので不適切です。(権限が足りません。) |
| エ | “GRANT SELECT ON X TO B”は、テーブルXを検索する権限を利用者Bに与えるという意味で、利用者BはテーブルXにアクセスしないので不適切ですが、参照のみで変更できないため、“完全性”の観点では問題がありません。“機密性”に問題があります。 |
【キーワード】
・アクセス管理
・完全性
- アクセス管理
アクセス管理とは「誰がどこにアクセスできるか。」(Who has access to what?)の文脈の“アクセス”を管理することです。
すなわち、誰がどのシステムやデータに対しアクセスする権限を持っているかを管理することです。(アクセス権限の管理。)
アクセス管理でやってはいけないこととして、- 過剰なアクセス権限の付与
- 休眠利用者IDの放置
- 責任所在が不明確な管理
- 完全性
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)の定義では完全性とは「情報及び処理方法が、正確であること及び完全であることを保護すること」となっています。
すなわち、データやプログラムが不正に改ざんされたりしていないことです。
ISMSでは完全性以外に機密性と可用性について定義しています。
もっと、「アクセス管理」について調べてみよう。
戻る
一覧へ
次へ