ITパスポート 2015年 秋期 問28
問題文
アクセス管理者は、不正アクセスからコンピュータを防御する役割を担う。不正アクセス禁止法において、アクセス管理者が実施するよう努力すべきこととして定められている行為はどれか。
選択肢
ア:アクセス制御機能の有効性を検証する。(正解)
イ:アクセスログを定期的に監督官庁に提出する。
ウ:複数の人員でアクセス状況を常時監視する。
エ:利用者のパスワードを定期的に変更する。
🔒 解説は解答すると表示されます
不正アクセス禁止法におけるアクセス管理者の努力義務【ITパスポート 解説】
正解の理由
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)では、アクセス管理者は不正アクセスを防ぐために必要な措置を講じることが求められています。選択肢の中で法が「努力すべきこと」として明確に想定しているのは、アクセス制御機能の有効性を検証する行為です。つまり、実際に設定したアクセス制御(誰が何にアクセスできるかを制限する仕組み)の動作や効果を点検・確認することが重要です。したがって、正しいのは ア の「アクセス制御機能の有効性を検証する。」です。
(用語補足)
- アクセス制御(誰が何にアクセスできるかを決める仕組み)
- アクセスログ(コンピュータやサービスへの接続の記録。誰がいつどこから接続したかなどが残る)
解法ステップ
- 問題文のキーワード「努力すべきこと」「アクセス管理者」に注目する。これは法的な努力義務を聞いている。
- 各選択肢を「法律で求められる努力か」「現実的・常識的な運用か」で分類する。
- 法律上で求められるのは、仕組みの導入だけでなくその「有効性の検証」など技術的管理策の確認であることを思い出す。
- 選択肢を比較して、法的な努力義務に一致するものを選ぶ。結果として ア が該当する。
選択肢別の誤答解説
-
ア アクセス制御機能の有効性を検証する。
→ 正解。設定や仕組みが意図したとおりに動いているか確認することは、アクセス管理者の努力義務に合致します。検証は設定チェック、脆弱性診断、模擬侵入(ペネトレーションテスト)などで行います。 -
イ アクセスログを定期的に監督官庁に提出する。
→ 誤り。アクセスログは保管・監査のために重要ですが、通常は監督官庁へ定期提出する義務はありません。事件発生時や捜査依頼があれば提出することはありますが、日常的な提出は求められていません。 -
ウ 複数の人員でアクセス状況を常時監視する。
→ 誤り。常時有人監視が求められるとは限りません。監視体制は組織の規模やリスクに応じて設計しますが、法律の努力義務で「常時複数人での監視」を明示的に要求しているわけではありません。自動監視システムやログ分析で対応する場合もあります。 -
エ 利用者のパスワードを定期的に変更する。
→ 誤り。パスワード管理は重要ですが、法律が「定期的な変更」を必ず義務付けているわけではありません。定期変更は運用ポリシーとして有効な場合がありますが、現在のセキュリティ指針では「強いパスワード+多要素認証(MFA)」の採用が優先される傾向にあります。
よくある誤解
-
ログは常に監督官庁に送るべきと思う
→ 日常的に提出する義務は基本的にありません。捜査や調査の要請がある場合の対応が主です。 -
「監視=人が張り付くこと」と考えてしまう
→ 監視は自動化(IDS/IPS、ログ解析)と人による分析の組合せが一般的です。人手のみが正解ではありません。 -
パスワードを頻繁に変えれば安全、と思い込む
→ 頻繁な変更でユーザが簡単なパスワードを使うようになると逆効果です。強力なパスワード、管理ツール、MFA の導入が現実的で効果的です。
補足コラム
アクセス制御の有効性検証の具体例
- 設定確認:アクセス権限の割当ミス(権限の過剰付与)がないか点検する。
- 脆弱性診断:ソフトやOSの弱点がないか自動ツールで調べる。
- ペネトレーションテスト(侵入検査):外部からの攻撃を模して実際に突破できるか試す。
- ログレビュー:異常な接続や試行を定期的に解析し、検出ルールを調整する。
実務チェックリスト(簡易)
- アクセス権の棚卸しを定期実施 → 誰がどの資源にアクセスできるか確認
- ログの保存方針と保管期間を定める → 証跡として使えるようにする
- 定期的な検証計画を作る(年1回以上の脆弱性診断等)
- 多要素認証(MFA: Multi-Factor Authentication:複数の要素で本人確認)の導入を検討する
FAQ
Q1: アクセス管理者とは誰ですか?
A1: アクセス管理者はシステムやネットワークの利用者のアクセス権を設定・管理し、不正アクセスを防ぐ責任を持つ人や組織です。例えばシステム管理者やネットワーク管理者が該当します。
A1: アクセス管理者はシステムやネットワークの利用者のアクセス権を設定・管理し、不正アクセスを防ぐ責任を持つ人や組織です。例えばシステム管理者やネットワーク管理者が該当します。
Q2: 監督官庁にログを出す必要は全くありませんか?
A2: 日常的な定期提出は不要です。ただし、不正アクセスの発生や捜査要請があれば提供を求められる場合があります。
A2: 日常的な定期提出は不要です。ただし、不正アクセスの発生や捜査要請があれば提供を求められる場合があります。
Q3: パスワードはどのくらいの頻度で変えるべきですか?
A3: 一律の正解はありません。組織のリスクに応じてポリシー化します。最近の考え方では、短期間での頻繁な変更よりも「長くて複雑なパスワード+MFA+漏洩チェック」の組合せが推奨される場合が多いです。
A3: 一律の正解はありません。組織のリスクに応じてポリシー化します。最近の考え方では、短期間での頻繁な変更よりも「長くて複雑なパスワード+MFA+漏洩チェック」の組合せが推奨される場合が多いです。
Q4: 有効性検証は自分でできますか?
A4: 基本的な設定チェックやログ確認は可能です。高度な脆弱性診断やペネトレーションテストは専門業者に依頼することが多いです。
A4: 基本的な設定チェックやログ確認は可能です。高度な脆弱性診断やペネトレーションテストは専門業者に依頼することが多いです。
関連キーワード: 不正アクセス禁止法、アクセス管理者、アクセス制御、アクセスログ、パスワード管理、多要素認証、脆弱性診断、監査、ペネトレーションテスト

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

