ITパスポート 2015年 秋期 問30
問題文
内部統制の一環として、業務分掌と整合のとれたアクセス管理を実現することになった。情報システムの開発において、アクセス管理の検討を開始するプロセスとして、適切なものはどれか。
選択肢
ア:要件定義(正解)
イ:プログラミング
ウ:テスト
エ:運用開始後
🔒 解説は解答すると表示されます
アクセス管理の検討を開始する適切なプロセスはどれか【ITパスポート 解説】
正解の理由
アクセス管理とは、誰が何にアクセスできるかを決める仕組みです。ここで言う「業務分掌」は業務ごとの役割分担(誰が何を担当するか)を指します。業務分掌と整合のとれたアクセス管理を実現するには、まず業務や役割を明確にする必要があります。これを行うのは開発工程の最初の段階である「要件定義」です。したがって、選択肢の中では ア の要件定義でアクセス管理の検討を始めるのが適切です。
理由を簡単にまとめると:
- 要件定義で業務フローや役割(業務分掌)を整理するため、誰にどんな権限が必要かを決めやすい。
- 早い段階で要件に入れておけば、設計・実装の手戻りやセキュリティ漏れを減らせる。
- プログラミングやテスト、運用開始後にアクセス制御を考えると、追加コストやセキュリティリスクが増える。
解法ステップ
- 問題文のキーワードを確認:業務分掌(役割分担)と「アクセス管理」の整合を求めている点に注目する。
- 開発プロセスの各フェーズの役割を思い出す:
- 要件定義:何を作るか、何が必要かを決める(業務や役割の整理含む)。
- プログラミング:実際にコードを書く。
- テスト:作ったものが要件どおりに動くかを確認。
- 運用開始後:実際に使い始めた後の運用・改善。
- アクセス管理は「誰が何をするか(業務)」に依存するため、業務を定義する要件定義の段階で検討すべきと判断する。
- よって答えは ア(要件定義)。
選択肢別の誤答解説
-
ア(要件定義)
正解。業務分掌の整理と整合させるには、業務内容や役割を決める要件定義で検討するのが適切です。 -
イ(プログラミング)
プログラミングは実装段階です。ここで初めてアクセス管理を考えると、仕様の不足や手戻りが発生します。業務上の役割を反映した権限制御は、実装前に定義しておくべきです。 -
ウ(テスト)
テストは要件どおり動くかの確認段階です。アクセス制御の根本方針をテスト段階で決めるのは遅く、問題があれば設計や実装の大幅なやり直しになります。 -
エ(運用開始後)
運用開始後に検討するのは遅すぎます。セキュリティ上の弱点や業務プロセスとの不整合が発生しやすく、ユーザーや業務に影響を与える恐れがあります。修正には高いコストが伴います。
よくある誤解
-
「アクセス管理はセキュリティ担当やプログラマが後で決めればよい」
→ 実際は業務の役割に基づくため、業務担当者と一緒に要件段階で決める必要があります。 -
「テクニカルな仕組み(パスワードやログ管理)さえあれば十分」
→ 技術的対策は重要ですが、誰にどの権限を与えるか(ポリシー)が決まっていないと適切に運用できません。方針(要件)と仕組み(設計・実装)は両方必要です。
補足コラム
- 最小権限の原則(least privilege)
利用者やシステムに与える権限は、業務遂行に必要な最小限にするのが基本です。これにより過剰な権限による事故や不正を防げます。 - RBAC(Role-Based Access Control:役割ベースのアクセス制御)
役割ごとに権限をまとめて管理する方法です。業務分掌を要件定義で整理すると、RBACを設計しやすくなります。 - IAM(Identity and Access Management:識別とアクセス管理)という言葉もあり、ユーザの識別(誰か)と権限管理(何ができるか)を包括的に扱います。これも要件段階で全体像を考えておくと導入がスムーズです。
FAQ
Q1: 要件定義でどこまで詳細に決めるべきですか?
A1: 業務の役割分担(誰が何を担当するか)と、その役割ごとの主要な操作(閲覧、作成、承認、削除など)を明確にします。細かいUIの動きは設計で詰めますが、権限の大枠は要件で決めます。
A1: 業務の役割分担(誰が何を担当するか)と、その役割ごとの主要な操作(閲覧、作成、承認、削除など)を明確にします。細かいUIの動きは設計で詰めますが、権限の大枠は要件で決めます。
Q2: 要件定義で決めた権限は後から変えられますか?
A2: 変更は可能ですが、後からの変更は設計・実装に影響します。運用のしやすさや将来の拡張も考慮して柔軟性を持たせる設計が望ましいです。
A2: 変更は可能ですが、後からの変更は設計・実装に影響します。運用のしやすさや将来の拡張も考慮して柔軟性を持たせる設計が望ましいです。
Q3: 業務担当者が役割をうまく書けない場合は?
A3: 現行業務のヒアリングや業務フロー図を作ることで役割が見えてきます。現場とシステム担当が協力して要件化しましょう。
A3: 現行業務のヒアリングや業務フロー図を作ることで役割が見えてきます。現場とシステム担当が協力して要件化しましょう。
関連キーワード: 内部統制、アクセス管理、業務分掌、要件定義、最小権限、RBAC、IAM、権限付与、セキュリティ設計

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

