平成22年度 秋期 ITパスポート試験 問94 解説 入室許可設定の行数計算

この問題は、アクセス制御における「デフォルト拒否（DENY）」の原則と、ルールを効率的に記述する際のグループ化の考え方を理解しているかを問うものです。

正解にたどり着くための計算手順は以下の通りです。

1. デフォルトポリシーとして「全拒否（DENY）」を記述する（これが1行目）。
2. 表の中で許可（○）となっている箇所を特定し、それらを許可するルールを記述する。
3. 表の許可箇所を整理して、可能な限り1行にまとめて記述する。

アクセス制御におけるデフォルトDENYの原則

情報セキュリティにおいて、アクセス制御の基本設定は「デフォルトDENY（デフォルト拒否）」にするのが鉄則です。「明示的に許可されたもの以外はすべて拒否する」という設定にすることで、未知のアクセスや設定ミスによる情報漏洩のリスクを最小限に抑えることができます。

この問題では、まず「すべてのアクセスを禁止する」というルールを1行定義し、その上で例外的に「ここだけは許可する」というルールを追加していきます。

効率的なルール記述の思考プロセス

表を確認し、許可（○）となっている部分をリストアップします。

• 会議室：営業課員、技術課員
• 執務室1：営業課員
• 執務室2：技術課員
• 応接室：来客者、営業課員、技術課員

ここで、応接室に注目してください。応接室はすべての対象区分（来客者・営業・技術）に対して「○」となっています。これらは個別に記述せず、「応接室に対する全対象区分は許可」として1行にまとめることができます。

残りの許可ルールを整理すると以下のようになります。

1. [デフォルト] 全施設・全区分：DENY
2. 会議室：営業課員・技術課員（営業と技術は個別に記述）→ 2行
3. 執務室1：営業課員 → 1行
4. 執務室2：技術課員 → 1行
5. 応接室：ANY（全区分） → 1行

合計で5行となります。もし「会議室」のルールもまとめられる共通項があればさらに減らせますが、今回の表の構成ではこれ以上まとめることはできません。したがって、最小で5行という答えが導かれます。

現場で求められるセキュリティ設定の考え方

このようなルール記述は、ファイアウォールやアクセス制御リスト（ACL）の設定において日常的に行われています。

実務においては、セキュリティレベルを高めるだけでなく「管理のしやすさ」も重要です。もし誤って許可範囲を広く設定してしまうと、セキュリティホールが生まれます。逆に、ルールが複雑になりすぎると、運用の現場で設定ミスを誘発する恐れがあります。

この問題のように、条件を整理し「ANY（全指定）」を活用してルール数を最小化することは、単に記述を減らすテクニックというだけでなく、設定の見通しを良くし、人的ミスを防ぐという極めて重要なセキュリティ管理能力を養うための課題といえます。

参考リンク

• 【ITパスポート】アクセス制御の仕組みについて
• 【Qiita】AWS Security Groupのルールを効率的に管理する方法
• 【総務省】国民のための情報セキュリティサイト（アクセス制御とは）