表に示すテーブルX、Yへのアクセス要件に関して、JIS Q 27001:2006(USO/IEC 27001:2005)が示す“完全性”の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。
テーブル | アクセス要件 | ||||
X(注文テーブル) |
|
||||
Y(仕入マスタテーブル) |
|
ア | GRANT INSERT ON Y TO A |
イ | GRANT INSERT ON Y TO B |
ウ | GRANT SELECTT ON X TO A |
エ | GRANT SELECT ON X TO B |
答え ア
【解説】
ア | “GRANT INSERT ON Y TO A”は、テーブルYにデータを追加する権限を利用者Aに与えるという意味で、利用者AはテーブルYを参照しかしないのに追加できてしまうため、“完全性”の観点で問題があります。 |
イ | “GRANT INSERT ON Y TO B”は、テーブルYにデータを追加する権限を利用者Bに与えるという意味で、利用者BはテーブルYのメンテナンスを行うので適切な権限付与です。 |
ウ | “GRANT SELECT ON X TO A”は、テーブルXを検索する権限を利用者Aに与えるという意味で、利用者AはテーブルAの入力をするので不適切です。(権限が足りません。) |
エ | “GRANT SELECT ON X TO B”は、テーブルXを検索する権限を利用者Bに与えるという意味で、利用者BはテーブルXにアクセスしないので不適切ですが、参照のみで変更できないため、“完全性”の観点では問題がありません。“機密性”に問題があります。 |
【キーワード】
・アクセス管理
・完全性