平成26年度 春期 ITパスポート試験 公開問題 問76 解説 アクセス権の目的

選択肢の判断根拠

この問題は、アクセス権という仕組みが「何を守るためにあるのか」を理解しているかを問うています。判断のポイントは「対象がシステムへの操作（読み書き）を制御できるか」という点です。

• 情報漏えい（②）と改ざん（④）は、特定のユーザーがファイルやデータを許可なく閲覧・変更することで発生します。これらはアクセス権によって「閲覧させない」「書き込ませない」という制御が可能であるため、対策として有効です。
• DoS攻撃（①）は、大量のデータ送信などでシステムに過剰な負荷をかけてサービスを停止させる攻撃です。アクセス権を細かく設定しても通信そのものを止めることはできないため、効果はありません。
• ショルダハッキング（③）は、他人の画面を後ろから覗き見る物理的な行為です。データへの論理的なアクセス権とは無関係であり、のぞき見防止フィルターや座席の配置変更といった物理的な対策が必要です。

アクセス権の基礎知識

アクセス権とは、コンピュータ内のファイルやディレクトリ、データベースなどの資産に対して、「誰が」「どのような操作を許可されているか」を定めた設定のことです。一般的に、読み取り、書き込み、実行といった権限で構成されます。

最小権限の原則というセキュリティの重要な概念があります。これは、ユーザーやプロセスに対して、業務に必要な最低限の権限だけを付与するという考え方です。アクセス権を適切に設定することは、この原則をシステム上で具体化する作業に他なりません。

実務における重要性

この知識は、情報セキュリティマネジメントの現場において最も基本となる防御策です。

例えば、会社の共有サーバーにおいて、経理担当者以外は給与台帳のファイルを開けないように設定するのは、アクセス権による情報漏えい対策です。また、ウェブサイトの管理用ファイルを一般ユーザーが上書きできないように制限するのは、不正な改ざんを防ぐための防御となります。

試験で問われる理由は、技術的な対策が「論理的な制限（アクセス権）」と「物理的な制限（覗き見防止、防犯カメラ等）」、「通信の制限（ファイアウォール等）」のように、種類によって守れるものが明確に分かれていることを理解させるためです。どの対策がどの脅威に有効かを整理しておくことが、実務でも試験でも非常に重要になります。

参考リンク

• ITパスポート試験対策サイト - アクセス制御とは
• 【Qiita】Linuxのアクセス権（パーミッション）を理解して遊んでみる
• 情報処理推進機構（IPA） - アクセス制御の技術的定義