平成22年度 秋期 ITパスポート試験 問95 解説 入室管理ルールの追加位置

この問題は、アクセス制御リスト（ACL）における「評価の優先順位」を問うものです。正解は「①」となります。

ルール評価の鉄則：上から順に適用される

入室管理システムのようなポリシー評価では、原則として「リストの上から順に条件をチェックし、最初に見つかった条件を適用して評価を終了する（＝後続のルールは見ない）」という仕組みになっています。

今回のケースに当てはめると、既存の設定では「特別会議室」に対して「来客者、営業課員、技術課員はDENY（拒否）」という強い制約が一番上に置かれています。もし新たに「課長は特別会議室に入室可能（ACCEPT）」というルールを追加したい場合、このルールを既存のDENYルールの「下」に配置してしまうと、システムは先に「拒否」ルールを読み取ってしまい、課長であっても入室が拒否されてしまいます。

したがって、例外的に許可を与えたいルールは、対象となる拒否ルールよりも「上」に配置する必要があります。

なぜこれが重要な考え方なのか

この問題の教育的意図は、ITシステムにおける「セキュリティポリシーの優先順位」という概念を理解させることにあります。

実際のIT運用において、アクセス制限は非常に複雑です。「誰に何を許可し、誰を拒否するのか」を管理する際、全てを網羅することは困難です。そのため、多くのシステムでは以下のような戦略をとります。

1. 特定の個人や役職に対する例外許可（ホワイトリスト）
2. 全体に対する拒否ルール（ブラックリスト）

これらが混在する場合、システムがどちらを優先して判断するのかを設計者が理解していないと、意図しない場所で「アクセスできない」というトラブルや、逆に「許可してはいけない人にアクセス権を与えてしまう」というセキュリティ事故に直結します。ファイアウォールやルータのフィルタリング設定においても、この「上から順に評価する」という構造は全く同じ考え方が適用されています。

業務や実社会での活用場面

この知識は、社内のネットワーク管理者やセキュリティ担当者が設定を行う際に必須となります。例えば、以下のような場面で応用できます。

• ファイアウォールのフィルタリング設定：特定のIPアドレスだけは通信を許可し、それ以外はすべて遮断する場合、許可ルールを拒否ルールの前に書く必要があります。
• クラウドサービスの権限設定（IAMなど）：特定の部門にはアクセスを許可しつつ、特定の共有フォルダだけは閲覧不可にするといった例外的なアクセス制限を構築する際に、評価の順序を意識しなければなりません。

ルールは単に列挙するだけではなく「どの順序で適用されるか」がシステムの挙動を決定づけるという事実は、ITパスポートの試験のみならず、実務の現場で必ず直面する重要な論点です。

参考リンク

• ITパスポート試験の解説：アクセス制御の仕組み
• Qiita：AWS IAMポリシーの評価ロジックを理解する
• アカデミックな定義：アクセス制御（情報セキュリティ用語辞典）