アクセス管理とは？特権IDとneed-to-knowで権限を適切に制御【SG試験】

まず結論

アクセス管理とは、利用者ごとに必要な範囲だけ権限を与える仕組みであり、SG試験では「権限が適切か（与えすぎていないか）」を判断させる問題が多いです。

このページで切り分けること（先にここだけ）

このページは、アクセス制御をどう設計し、運用で効かせるかを中心に整理します。

認可：何を許可するか決める（ルール設計）
アクセス制御：決めたルールを通す／拒否する（実施）
監査・棚卸：運用で崩れていないか確認する（維持）

迷ったら、「権限を決める話」か「実際に止める話」かで見分けます。
実際に通す・拒否する話ならアクセス制御です。

SG試験で選択肢を切る判断軸（アクセス制御編）

「権限の棚卸・定期見直し」が出る → アクセス制御運用の話
「誰に何を許可するか」の方針を決める説明
→ 認可の話
「権限がない操作を拒否する」仕組みの説明
→ アクセス制御の話
「最小権限・特権ID・権限棚卸」の説明
→ アクセス制御運用の話

直感的な説明

社内のシステムは、誰でも何でもできる状態だと危険です。

たとえば、

新人が顧客データを削除できる
一般社員が給与データを変更できる

これは明らかにリスクです。

👉 そこで
「その人に必要なことだけできる状態」にするのがアクセス管理です。

定義・仕組み

アクセス管理は、利用者に対して適切な権限（アクセス権）を設定・管理する仕組みです。

■ 権限の種類（基本）

読み取り（参照）
書き込み（更新）
削除

👉 SG試験では
「どこまでできるか（権限の強さ）」に注目します。

■ 特権ID（重要）

管理者など、強い権限を持つアカウント

👉 できることが多い分、悪用されると被害が大きい

そのため

利用を限定する
操作を記録する（ログ）

などの対策が必要です。

■ need-to-know（重要）

「業務に必要な情報だけアクセスさせる」という考え方

👉
必要な人に、必要な情報だけ

■ 最小権限の原則（関連）

必要最低限の権限のみを与える

👉 need-to-knowとセットで覚えると理解しやすい

■ 内部不正との関係（重要）

アクセス管理は、不正のトライアングルのうち
👉 「機会（Opportunity）」を減らす対策

どんな場面で使う？

■ 使う場面

ユーザアカウントの設計
権限設定（役職・業務ごと）
システム導入時のアクセス設計

👉 ケース問題では
「この人にこの権限は適切か？」と問われます。

■ 使うと誤解しやすい場面

セキュリティ対策＝アクセス管理だけ
→ 他にもログ管理・教育などが必要
全員に同じ権限を与える
→ 管理は楽だがリスクが高い

よくある誤解・混同

❌ 「権限が多いほど便利で良い」

→ ⭕ 権限が多いほどリスクが高い

❌ 「特権IDは共有したほうが管理しやすい」

→ ⭕ 誰が操作したか分からなくなる

❌ 「need-to-know＝最小権限と同じ」

→ ⭕

need-to-know → 情報へのアクセス範囲
最小権限 → 操作できる範囲

■ SG試験でのひっかけ

「権限を広く与えて業務効率を上げる」といった選択肢
→ セキュリティとしては不適切
「特権IDの管理が甘い」ケース
→ 高確率で誤り

👉
「その人に本当にその権限が必要か？」で判断する

確認問題（SG試験対策）

次のうち、アクセス管理の考え方として最も適切なものはどれか。

ア. 業務効率を優先し、全利用者に同じ強い権限を付与する。
イ. 特権IDは緊急時に誰でも使えるよう、部署内で共有しておく。
ウ. 利用者の業務に必要な範囲に限定して権限を付与し、特権IDの利用は記録する。
エ. 認証に成功した利用者には、システム内のすべての情報を参照させる。

▶ クリックして答えと解説を見る（ここを開く）

正解：ウ

解説

ア：全員に強い権限を与えると、誤操作や内部不正の影響が大きくなります。
イ：特権IDを共有すると、誰が操作したか追跡しにくくなります。
ウ：必要な範囲だけ権限を与え、強い権限の利用を記録する考え方は適切です。
エ：認証成功は本人確認であり、すべての情報へのアクセス許可ではありません。

👉 判断ポイント「本人かどうか」ではなく「その人にその権限が本当に必要か」で切り分ける。

まとめ（試験直前用）

アクセス管理＝権限を適切に制御する仕組み
基本は「必要な分だけ与える」
特権IDは特に厳重管理
need-to-knowと最小権限をセットで理解
SGでは「権限が過剰かどうか」で選択肢を切る

公式情報・参考リンク

IPA｜情報セキュリティ対策の基本

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る