アクセス管理は利用者に応じて適切な権限を設定する仕組みです。特権IDやneed-to-knowの考え方を中心に、SG試験で問われる権限設定と内部不正対策の判断ポイントを整理します。

sg sg-security-measures access_control it_security_operations

まず結論

アクセス管理とは、利用者ごとに必要な範囲だけ権限を与える仕組みであり、SG試験では「権限が適切か(与えすぎていないか)」を判断させる問題が多いです。

直感的な説明

社内のシステムは、誰でも何でもできる状態だと危険です。

たとえば、

  • 新人が顧客データを削除できる
  • 一般社員が給与データを変更できる

これは明らかにリスクです。

👉 そこで
「その人に必要なことだけできる状態」にするのがアクセス管理です。

定義・仕組み

アクセス管理は、利用者に対して適切な権限(アクセス権)を設定・管理する仕組みです。

■ 権限の種類(基本)

  • 読み取り(参照)
  • 書き込み(更新)
  • 削除

👉 SG試験では
「どこまでできるか(権限の強さ)」に注目します。

■ 特権ID(重要)

  • 管理者など、強い権限を持つアカウント

👉 できることが多い分、悪用されると被害が大きい

そのため

  • 利用を限定する
  • 操作を記録する(ログ)

などの対策が必要です。

■ need-to-know(重要)

  • 「業務に必要な情報だけアクセスさせる」という考え方

👉
必要な人に、必要な情報だけ

■ 最小権限の原則(関連)

  • 必要最低限の権限のみを与える

👉 need-to-knowとセットで覚えると理解しやすい

■ 内部不正との関係(重要)

アクセス管理は、不正のトライアングルのうち
👉 「機会(Opportunity)」を減らす対策

どんな場面で使う?

■ 使う場面

  • ユーザアカウントの設計
  • 権限設定(役職・業務ごと)
  • システム導入時のアクセス設計

👉 ケース問題では
「この人にこの権限は適切か?」と問われます。

■ 使うと誤解しやすい場面

  • セキュリティ対策=アクセス管理だけ
    → 他にもログ管理・教育などが必要

  • 全員に同じ権限を与える
    → 管理は楽だがリスクが高い

よくある誤解・混同

❌ 「権限が多いほど便利で良い」

→ ⭕ 権限が多いほどリスクが高い

❌ 「特権IDは共有したほうが管理しやすい」

→ ⭕ 誰が操作したか分からなくなる

❌ 「need-to-know=最小権限と同じ」

→ ⭕

  • need-to-know → 情報へのアクセス範囲
  • 最小権限 → 操作できる範囲

■ SG試験でのひっかけ

  • 「権限を広く与えて業務効率を上げる」といった選択肢
    → セキュリティとしては不適切

  • 「特権IDの管理が甘い」ケース
    → 高確率で誤り

👉
「その人に本当にその権限が必要か?」で判断する

確認問題(SG試験対策)

次のうち、アクセス管理の考え方として最も適切なものはどれか。

A. 業務効率を優先し、全利用者に同じ強い権限を付与する。 B. 特権IDは緊急時に誰でも使えるよう、部署内で共有しておく。 C. 利用者の業務に必要な範囲に限定して権限を付与し、特権IDの利用は記録する。 D. 認証に成功した利用者には、システム内のすべての情報を参照させる。

▶ クリックして答えと解説を見る(ここを開く)

正解:C

解説

  • A:全員に強い権限を与えると、誤操作や内部不正の影響が大きくなります。
  • B:特権IDを共有すると、誰が操作したか追跡しにくくなります。
  • C:必要な範囲だけ権限を与え、強い権限の利用を記録する考え方は適切です。
  • D:認証成功は本人確認であり、すべての情報へのアクセス許可ではありません。

👉 判断ポイント 「本人かどうか」ではなく「その人にその権限が本当に必要か」で切り分ける。

まとめ(試験直前用)

  • アクセス管理=権限を適切に制御する仕組み
  • 基本は「必要な分だけ与える」
  • 特権IDは特に厳重管理
  • need-to-knowと最小権限をセットで理解
  • SGでは「権限が過剰かどうか」で選択肢を切る

関連記事

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る