前回の記事
-
.png)
-
🏢 Phase2:組織と管理(Day11)|クラウド利用時の共有責任モデルを図解する|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/2/28
前回の記事 1. クラウドは「任せれば安全」ではない クラウド事業者は高度なセキュリティ対策を実施しています。 しかし、 だからといって、すべて任せてよいわけではない。 ここを理解していないと、事故は ...
1. 事故の多くは「権限」から起きる
情報漏えい、データ改ざん、不正持ち出し。
その多くは、
本来不要な権限を持っていた
ことが原因です。
アクセス制御は、
技術の話ではなく“統制”の話。
試験でも重要論点です。
2. アクセス制御とは何か?
アクセス制御とは、
「誰が」「何に」「どこまで」
操作できるかを管理する仕組み。
ポイントは3つ。
✔ 主体(誰が)
✔ 客体(何に)
✔ 権限(何ができるか)
この構造で理解します。
3. 最小権限の原則(Least Privilege)
最小権限の原則とは、
業務遂行に必要最小限の権限だけを与えること。
例えば:
- 閲覧だけでよいのに編集権限を与えない
- 管理者権限を安易に付与しない
- 一時的権限は期限付きにする
余分な権限はリスク。
これが基本思想です。
4. なぜ最小権限が重要なのか?
理由は単純。
権限が広いほど、
被害も大きくなるから。
もしアカウントが乗っ取られた場合、
- 権限が限定的 → 被害も限定的
- 管理者権限 → 全体被害
試験では、
「影響範囲を限定する対策」
として出題されます。
5. 職務分掌(Segregation of Duties)
職務分掌とは、
重要な業務を一人に完結させない仕組み。
例:
- 申請者と承認者を分ける
- 入金処理と会計記録を分ける
- システム開発と本番反映を分ける
内部不正防止の中核です。
6. 最小権限と職務分掌の違い
混同しやすいので整理します。
最小権限 → 権限の“範囲”を小さくする
職務分掌 → 権限の“集中”を防ぐ
どちらも機会を減らす対策。
内部不正モデル(動機・機会・正当化)で言えば、
機会を減らす施策です。
7. 試験で狙われるポイント
頻出論点:
✔ 管理者権限の集中リスク
✔ 承認フローの必要性
✔ 退職者アカウント削除
✔ 権限棚卸し
特に、
「不要な権限を削除する行為」
は定期的見直し(PDCAのCheck)に該当。
8. アクセス制御の具体策
代表的対策:
① ロールベースアクセス制御(RBAC)
役割ごとに権限設定
② 多要素認証(MFA)
なりすまし防止
③ アカウント棚卸し
定期的な権限確認
④ 退職・異動時の即時削除
これらはすべて試験頻出。
9. クラウド時代の注意点
クラウドでは、
権限設定ミスが重大事故につながる。
- 公開ストレージ
- APIキー漏えい
- 管理者権限の乱用
技術よりも設定管理が重要。
ここも管理問題です。
10. 経営視点での理解
アクセス制御は、
社員を疑う仕組みではない。
組織を守る仕組み。
- 不正を防ぎ
- ミスを防ぎ
- 責任を明確にする
透明性が信頼を生みます。
11. よくある誤解
❌ 信頼しているから権限は広くてよい
→ 誤り。信頼と統制は別。
❌ 小規模企業だから不要
→ 小規模ほど権限集中が危険。
❌ 管理者は万能でよい
→ 単一障害点になる。
12. 今日のアウトプット課題
考えてみてください。
- 管理者権限は何人いるか
- 退職者アカウントは即時削除されているか
- 承認フローは機能しているか
- 権限棚卸しは定期実施しているか
答えられれば、管理視点は身についています。
13. 今日のまとめ
✔ アクセス制御は統制の核心
✔ 最小権限で被害を限定
✔ 職務分掌で権限集中を防ぐ
✔ 権限棚卸しは重要
✔ 信頼と統制は別概念
次回:
Day13|ログ管理と監査の重要性を説明できるか?
“見える化”が組織を守る理由に踏み込みます。
-
.png)
-
🏢 Phase2:組織と管理(Day13)|ログ管理と監査の重要性を説明できるか?|📘 30日間連続講座|情報セキュリティマネジメント合格ロードマップ
2026/3/1
前回の記事 1. 「証拠」がなければ守れない インシデント発生。 そのとき最初に問われるのは、 いつ 誰が 何をしたか これに答えられなければ、 原因究明も再発防止もできません。 そこで重要になるのが ...
