平成23年秋期情報セキュリティスペシャリスト午前II 問10

表に示すテーブルX、Yへのアクセス要件に関して、JIS Q 27001:2006(USO/IEC 27001:2005)が示す“完全性”の観点からセキュリティを脅かすおそれのあるアクセス権付与はどれか。

テーブル

アクセス要件

X(注文テーブル)

①	調達課の利用者Aが注文データを入力するために、又は内容を確認するためにアクセスする。
②	管理課の利用者Bはアクセスしない。

Y(仕入マスタテーブル)

①	調達課の利用者Aが仕入先データを参照する目的だけでアクセスする。
②	管理課の利用者Bが仕入先データのメンテナンス作業を行うためにアクセスする。

　ア

　GRANT INSERT ON Y TO A

　イ

　GRANT INSERT ON Y TO B

　ウ

　GRANT SELECTT ON X TO A

　エ

　GRANT SELECT ON X TO B

答え　ア

【解説】

ア	“GRANT INSERT ON Y TO A”は、テーブルYにデータを追加する権限を利用者Aに与えるという意味で、利用者AはテーブルYを参照しかしないのに追加できてしまうため、“完全性”の観点で問題があります。
イ	“GRANT INSERT ON Y TO B”は、テーブルYにデータを追加する権限を利用者Bに与えるという意味で、利用者BはテーブルYのメンテナンスを行うので適切な権限付与です。
ウ	“GRANT SELECT ON X TO A”は、テーブルXを検索する権限を利用者Aに与えるという意味で、利用者AはテーブルAの入力をするので不適切です。(権限が足りません。)
エ	“GRANT SELECT ON X TO B”は、テーブルXを検索する権限を利用者Bに与えるという意味で、利用者BはテーブルXにアクセスしないので不適切ですが、参照のみで変更できないため、“完全性”の観点では問題がありません。“機密性”に問題があります。

【キーワード】
・アクセス管理
・完全性

キーワードの解説

アクセス管理
アクセス管理とは「誰がどこにアクセスできるか。」(Who has access to what?)の文脈の“アクセス”を管理することです。
すなわち、誰がどのシステムやデータに対しアクセスする権限を持っているかを管理することです。(アクセス権限の管理。)
アクセス管理でやってはいけないこととして、

過剰なアクセス権限の付与
休眠利用者IDの放置
責任所在が不明確な管理

などがあります。

完全性
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)の定義では完全性とは「情報及び処理方法が、正確であること及び完全であることを保護すること」となっています。
すなわち、データやプログラムが不正に改ざんされたりしていないことです。
ISMSでは完全性以外に機密性と可用性について定義しています。

平成23年 秋期 情報セキュリティスペシャリスト 午前II 問10

平成23年秋期情報セキュリティスペシャリスト午前II 問10