今回も情報処理安全確保支援士の試験勉強の内容をアウトプットをしていきます。
勉強に使ったのはこちら
章の終わりにあるCheck問題に私なりの答えで解答していきます。
今回は6.1章:アクセス制御のCheck問題です。
【Q1】アクセス制御は、なぜ必要なのか。
組織の情報資産の機密性を確保するため。
【Q2】アクセス制御の実施プロセスについて述べよ。
識別と認証→認可の順で行われる。
【Q3】「認可」とは何か。
識別と認証が行われたユーザなどの権利と認可情報を決定し、必要な機能や実行するための権限を与えること。
【Q4】アクセス制御はどのような場所で実施する必要があるか。
建物、フロア、部屋などの物理的環境、ネットワーク環境、ホストやアプリケーションシステム、システムリソースといった物・場所でアクセス制御が必要になる。
【Q5】アクセス制御にはどのような方式があるか。
①任意アクセス制御
②強制アクセス制御
③ロールベースアクセス制御
④情報フロー制御
⑤MLS
【Q6】MLSはどのような考え方でアクセス制御を行うのか。
MLSは保護対象の情報とそれを操作するユーザをそれぞれ機密レベルで階層分けしてラベルをつける。
そして、各情報とユーザの機密レベルを比較し、それぞれ上位・同位・下位かで情報に対して行える操作を制限する。
情報が下の階層に流れないようにアクセス制御を行うという考え方である。
【Q7】アクセス制御はどのような手順で実施する必要があるか。
①アクセス制御方針の明確化
②アクセス制御の実装方法明確化
③アクセス制御の実装
④アクセス制御の適切性評価
⑤アクセス制御の見直し
【Q8】アクセス制御を実施する上で特に注意すべき事項としては何があるか。
誰が何に対してどのような権限を持つのかというルールを適切に明確にしておくこと。
ルールが不明確、不適切な場合は、どのような技術をもってしても十分な機密性を担保できない。
私が使っているのは2022年版のテキストですが、2024年版も出ています。