データベースの内容を, 利用者の業務の機密性に応じて限定的に表示するようにしたい。その手法として, 最も適切なものはどれか。

アアクセス権を, データと利用者の組合せに対して設定する。

平成21年度秋期 ITパスポート試験問76 解説データベースのアクセス制御

この問題は、情報セキュリティにおける「アクセス制御」の基本概念を問うものです。データベースにおいて特定の利用者に限定的な情報を表示させるには、誰がどのデータにアクセスできるかをシステム側で管理する「アクセス権の設定」を行うのが唯一の正解となります。

データベース管理システム（DBMS）には、利用者ごとに「どのデータを読み取れるか」「どのデータを更新できるか」を細かく指定する機能が備わっています。これをアクセス制御と呼びます。

一般的に、利用者（ユーザ）とデータ（テーブルや列など）の組み合わせに対して、権限（読み取り、書き込み、削除など）を割り当てます。例えば、人事部の担当者には給与データを見せ、一般社員には個人の住所データは見せないといった制御を、個別に設定した権限に基づいて自動的に処理させることができます。

なぜ他の選択肢が不適切なのか、その理由は実務上の非効率性とセキュリティの甘さにあります。

・利用者の複製を配布する（イ）データベースの内容をコピーして配布してしまうと、元のデータベースが更新された際に反映されず、情報が古くなってしまいます。また、一度配布したデータは流出のリスクが高く、セキュリティ管理の観点から極めて危険です。

・専用のデータ項目を設ける（ウ）利用者の数だけデータ列を増やしていくと、データベースの構造が複雑になり、管理が不可能になります。例えば1,000人の社員がいる場合に1,000個の項目を作るのは、システムの設計として著しく非効率です。

・レコードごとにパスワードを設定する（エ）レコード単位でパスワードをかける仕組みは、運用が極めて煩雑です。数万件、数百万件というレコードがある中で、一つ一つにパスワードを管理させるのは現実的ではなく、利便性が著しく低下します。

この知識は、実際の企業システムにおける「職務分掌（役割分担）」の実現に不可欠です。

例えば、顧客管理システムにおいて、営業担当者は「自分が担当する顧客の情報」だけを表示し、管理者のみが「全ての顧客情報」を閲覧できるようにする場合、データベース側で「営業職用ビュー」や「管理者用ロール」を作成し、アクセス権を制御します。

ITパスポート試験では、技術的な正解を選ぶだけでなく、その手法が「運用の手間」と「セキュリティの強固さ」の両立を目指しているかどうかという視点を持つことが合格への鍵となります。