最小権限の原則 | 基本情報技術者試験

アクセス権

「コンピュータの利用者に与えられた、保存されたファイルやフォルダ、

あるいは接続された周辺機器などを利用する権限のこと」です


ネットワークの普及とともに、

コンピュータ内部で、ファイルやフォルダにアクセス権を与えてセキュリティを確保する場合がおおくなっています。


コンピュータ管理者(ネットワーク管理者)が、

アクセスしてきた対象を判別し、

対象オブジェクト(システム・ファイル・データなど)に

どの機能(参照/更新/実行)ができるかを許可したり拒否したりする機能のことを

アクセス制御 といいます。


アクセス権を設定する場合、情報セキュリティの観念上、

人、プロセス、またはプログラムが正当な機能を達成するために必要な権限のみを付与する」

最小権限の原則が、優先されます。


これを徹底することで、不正な行為を予防し、

外部からの侵入などの場合にも、その被害の範囲や損害を最小限にすることができます。


この「最小権限の原則」とともに

組織 もしくは 役職での アクセス権の設定を行うことで、

単独行動としての不正行為の成立を難しくすることができます。



基本情報技術者 平成25年秋期

午前問44


利用者情報を管理するデータベースにおいて,利用者情報を検索して表示するアプリケーションがある。

このアプリケーションに与えるデータベースへのアクセス権限として,セキュリティ管理上適切なものはどれか。

ここで,権限の範囲は次のとおりとする。


〔権限の範囲〕

参照権限: レコードの参照が可能
更新権限: レコードの登録,変更,削除が可能
管理者権限: テーブルの参照,登録,変更,削除が可能



ア. 管理者権限    イ. 更新権限

ウ. 参照権限      エ. 参照権限と更新権限



【解説】

設問のアプリケーションの利用者にとって、

必要な機能は「検索結果の表示」だけなので、

「更新権限」および「管理者権限」は必要ありません。


最小権限の原則に基づくと「参照権限」のみを与えるのが

セキュリティの観点から適切といえます。


【正答】ウ