午後まとめ試験午後問題 問12
問12 情報セキュリティ
利用者IDとアクセス権の管理に関する次の記述を読んで,設問1~3に答えよ。
K社では,社内ネットワーク(以下,Kネットという)の利用者認証に使用する利用者IDが,全社員に付与されている。Kネットでは,いろいろな業務システムが稼働しており,社員はそれぞれの担当職務に応じた利用者権限を登録してもらって利用することになっている。Kネットの利用者IDの管理手続と,業務システムの利用者権限の管理に関する現状は,次のとおりである。
〔Kネットの利用者IDの管理手続〕
利用者IDは,最新の人事情報を利用して登録,変更を行っている。退職者については,該当する利用者IDの設定を変更して使用不可能にしている。
利用者IDの登録,変更の作業は,総務部IT部門の管理下で,Kネットの運用委託先(以下,委託先という)が行っている。
〔業務システムの利用者権限の管理に関する現状〕
業務システムはKネットの利用者IDを使用して利用者を識別しているので,利用者IDの業務システムへの登録,削除は,担当職務に合わせて適時に行う必要がある。これまで,利用者権限の管理は,業務システムを利用する担当部署やプロジェクトがそれぞれ独自に行っており,全社的に統一された手続は定められていない。現状では,本人やその上司からの依頼に従って個別に対応している。
最近実施された内部監査で,業務システムの利用者権限の設定に関する手続が定められていないこと,及び職務上必要がないと思われる利用者の利用者IDが業務システムに登録されていることを指摘されたので,総務部IT部門で対応策を検討した。
総務部IT部門が利用者権限の設定について調査した結果,利用者権限を適切に設定するには,担当職務とそれに対応する業務システム上の利用者権限を判断する必要があり,人事情報だけでは業務システムの利用者権限を判断できないことが分かった。そこで,利用者権限の設定を承認する社内共通の手続を定めて,設定操作を委託先で行う方針で対応することにした。
手続の策定に当たって,担当職務と担当者の対応については各部署の長が確認して承認することにした。担当職務と業務システム上の利用者権限の対応については,業務システムごとに定められた責任部署の長が確認して承認することにした。
K社では,社内ネットワーク(以下,Kネットという)の利用者認証に使用する利用者IDが,全社員に付与されている。Kネットでは,いろいろな業務システムが稼働しており,社員はそれぞれの担当職務に応じた利用者権限を登録してもらって利用することになっている。Kネットの利用者IDの管理手続と,業務システムの利用者権限の管理に関する現状は,次のとおりである。
〔Kネットの利用者IDの管理手続〕
利用者IDは,最新の人事情報を利用して登録,変更を行っている。退職者については,該当する利用者IDの設定を変更して使用不可能にしている。
利用者IDの登録,変更の作業は,総務部IT部門の管理下で,Kネットの運用委託先(以下,委託先という)が行っている。
〔業務システムの利用者権限の管理に関する現状〕
業務システムはKネットの利用者IDを使用して利用者を識別しているので,利用者IDの業務システムへの登録,削除は,担当職務に合わせて適時に行う必要がある。これまで,利用者権限の管理は,業務システムを利用する担当部署やプロジェクトがそれぞれ独自に行っており,全社的に統一された手続は定められていない。現状では,本人やその上司からの依頼に従って個別に対応している。
最近実施された内部監査で,業務システムの利用者権限の設定に関する手続が定められていないこと,及び職務上必要がないと思われる利用者の利用者IDが業務システムに登録されていることを指摘されたので,総務部IT部門で対応策を検討した。
総務部IT部門が利用者権限の設定について調査した結果,利用者権限を適切に設定するには,担当職務とそれに対応する業務システム上の利用者権限を判断する必要があり,人事情報だけでは業務システムの利用者権限を判断できないことが分かった。そこで,利用者権限の設定を承認する社内共通の手続を定めて,設定操作を委託先で行う方針で対応することにした。
手続の策定に当たって,担当職務と担当者の対応については各部署の長が確認して承認することにした。担当職務と業務システム上の利用者権限の対応については,業務システムごとに定められた責任部署の長が確認して承認することにした。
設問1
総務部IT部門では,業務システムの利用者権限の設定に関する手続と,その手続を行うことで期待できるセキュリティ上の効果を表にまとめた。表中の に入れる適切な字句を,解答群の中から選べ。
a,b,c,d,e に関する解答群
- 設定依頼書の記載内容の誤りを発見する。
- 設定担当者以外の者が,利用者権限を設定することを予防する。
- 設定担当者以外の者が,利用者権限を設定したことを発見する。
- 担当職務に対して誤った利用者権限が設定されることを予防する。
- 担当職務に対して誤った利用者権限が設定されたことを発見する。
- 適切な承認を得ずに利用者権限が設定されることを予防する。
- 適切な承認を得ずに利用者権限が設定されたことを発見する。
解答選択欄
- a:
- b:
- c:
- d:
- e:
- a=ア
- b=エ
- c=カ
- d=イ
- e=オ
解説
この設問の解説はまだありません。設問2
表の手続を追加しただけでは,利用者権限の設定に問題が発生する可能性がある。起こりうる問題を,解答群の中から選べ。
解答群
- 業務システムを利用しなくなった者の設定依頼書が提出されない場合に,利用者権限の削除漏れを発見できないので,不正に利用される。
- 退職者の設定依頼書が提出されない場合に,利用者権限の削除漏れを発見できないので,不正に利用される。
- 削除のために上司が設定依頼書を作成した場合に,利用者権限の削除漏れを発見できないので,不正に利用される。
解答選択欄
- ア
解説
この設問の解説はまだありません。設問3
業務システムに設定されている利用者権限については,設定状況が正しいかどうか定期的に確認することにした。次の①~③のうち,この確認作業で行うべき適切な内容の組合せを,解答群の中から選べ。
- 業務システムに利用権限者として登録されている利用者IDと氏名の一覧表(以下,権限者リストという)に載っている者が適切な利用者であることを,委託先で人事情報と照合してもらう。
- 設定手続が終了している操作済の設定依頼書の内容と権限者リストの内容が一致していることを,業務システムの責任部署に確認してもらう。
- 業務システムに登録されている利用者の所属部署に権限者リストを渡し,リストに載っている者が所属しており,かつ担当職務が変更されていないことを,所属部署の長に確認してもらう。
解答群
- ①だけ
- ①と②
- ①と③
- ②だけ
- ②と③
- ③だけ
解答選択欄
- オ
解説
この設問の解説はまだありません。広告