平成30年 春期 情報セキュリティマネジメント 午前 問7

JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)でいう特権的アクセス権の管理について、情報システムの管理特権を利用した行為はどれか。

 ア  許可を受けた営業担当者が、社外から社内の営業システムにアクセスし、業務を行う。
 イ  経営者が、機密性の高い経営情報にアクセスし、経営の意思決定に生かす。
 ウ  システム管理者が業務システムのプログラムにアクセスしのバージョンアップを行う。
 エ  来訪者が、デモンストレーション用のシステムにアクセスし、システム機能の確認を行う。


答え ウ


解説
特権的アクセス権はシステム管理者に割当てられるアクセス権で業務システムのプログラムのバージョンアップを行う(ウ)ことが可能です。
特権的アクセス権が漏えいし第三者に詐称されると、他の供給者が提供している特権的ユーティリティプログラムが悪用される恐れがあるため、特権的アクセス権の保護には、一般のエンドユーザとは異なる格別の対策が求められます。


キーワード
・特権的アクセス権

キーワードの解説
  • 特権的アクセス権(特権ID)
    一般にシステム管理者が使う、高いレベルの権限を持ったシステムIDで、MS-Windowsでは“administrator”、UNIXやLinuxでは“root”がそれに当たり、サーバの起動や停止、アプリケーションのインストールやシステム設定の変更、全データへのアクセスなど、システムに対するあらゆる操作が可能です。

もっと、「特権的アクセス権」について調べてみよう。

戻る 一覧へ 次へ