問題
問56 複数の業務システムがある場合のアクセス管理の方法のうち、最も適切なものはどれか。
ア 業務の担当変更に迅速に対応するために、業務グループごとに共通の利用者IDを使用する。
イ 人事異動が頻繁に発生する場合には、年初にまとめてアクセス権限の変更を行う。
ウ 新入社員の名簿に基づいて、あらかじめ全業務システムに全員の利用者登録を実施しておく。
エ 利用者の職位にかかわらず、業務システムごとに役割に応じて適切なアクセス権限の設定を行う。
解説と解答
アクセス管理とは、誰がどのシステムやデータに対しアクセスする権限を持っているかを管理することです。単にユーザー認証だけではなく、適切に利用者へのアクセス権限の付与や解除をし、そのうえで利用者の認証・認可を行います。
よって、正解はエとなります。
他の選択肢は
ア:「利用者の特定ができない」、「不正アクセスが発生しやすい」、「責任所在が不明確」などの問題点があるため、個人単位のIDにするべきです。
イ:アクセス権限がなくなったIDによる、システムへのアクセスが可能になってしまいます。組織に変更があった場合には適宜アクセス権限も変更を行うべきです。
ウ:業務内容によって利用する業務システムが異なります。それぞれ業務にあったアクセス権限の設定を行うべきです。
したがって、いずれも誤りです。
鈴木 啓一郎(すずき・けいいちろう)
ITに関するコンサルティングや教育を実施するアイティ・アシストのインストラクタ。新入社員研修や各種ベンダー試験、基本情報技術者試験、応用情報技術者試験などの対策研修も手がけている。ITストラテジスト、システム監査技術者などの資格を所持。
