need-to-knowとは、情報やシステムへのアクセス権を付与する際の基本原則です。その人の業務に必要な最小限のアクセス権のみを与えるという考え方で、「最小権限の原則」とも呼ばれます。
この原則が重要視される理由は、必要以上のアクセス権を付与することで、内部不正や操作ミスによる情報漏えい・システム障害といった事故が発生するリスクが高まるためです。
具体的には、担当業務に関係のないファイルや機密情報へのアクセスを制限することで、万が一アカウントが不正利用された場合でも、被害の範囲を最小限に抑えることができます。
組織のセキュリティ対策において、need-to-knowの徹底は基本中の基本です。定期的なアクセス権の見直しと適切な管理が、情報セキュリティの向上につながります。
利用者情報を管理するデータベース(利用者データベース)がある。利用者データベースを検索し、検索結果を表示するアプリケーションに与えるデータベースのアクセス権限として、セキュリティ管理上適切なものはどれか。ここで、権限の範囲は次のとおりとする。〔権限の範囲〕
参照権限:利用者データベースのレコードの参照が可能
更新権限:利用者データベースへのレコードの登録、変更、削除が可能
管理者権限:利用者データベースのテーブルの参照、登録、変更、削除が可能
| ア | 管理者権限 |
| イ | 更新権限 |
| ウ | 参照権限 | エ | 参照権限と更新権限 |
答え:ウ
このアプリケーションは、利用者データベースを検索して結果を表示するだけの機能です。データの登録・変更・削除は行いません。そのため、セキュリティ管理の観点では、必要最小限の権限だけを与える最小権限の原則が重要になります。更新権限や管理者権限を与えると、誤操作や不正操作によってデータが変更されるリスクが高まります。したがって、レコードの閲覧のみが可能な参照権限を付与するのが適切です。よって正解はウ(参照権限)です。
