平成27年度 秋期 ITパスポート試験 公開問題 問30 解説 アクセス管理の検討時期

正解の導き方

この問題は、システム開発の「工程」と「セキュリティの検討タイミング」を関連付けることで解くことができます。結論からいえば、情報セキュリティや内部統制といったシステムの根幹に関わるルールは、後から追加することが難しいため、開発の最初期である「要件定義」の段階で必ず決めておく必要があります。

なぜ要件定義で決める必要があるのか

システム開発には、要件定義、設計、プログラミング、テスト、運用といった一連の流れがあります。この中で要件定義とは、「どのような機能が必要か」「どのようなセキュリティ対策が必要か」というルールを定めるフェーズです。

もし要件定義でアクセス管理（誰がどのデータに触れてよいかというルール）を決めずにプログラミングやテストの段階まで進んでしまうと、以下のような問題が発生します。

・システムの根本的な設計がルールに対応しておらず、すべて作り直しになる ・開発コストや時間が大幅に膨れ上がる ・運用開始後にセキュリティの欠陥が見つかり、重大な情報漏洩リスクを抱えることになる

いわゆる「手戻り」を防ぐためには、最初に「何を守るのか」「誰にどこまでの権限を与えるのか」を明確にし、設計図に組み込むことが不可欠なのです。

業務分掌とアクセス管理の関係性

内部統制における業務分掌（ぎょうむぶんしょう）とは、不正やミスを防ぐために、一人の人間にすべての権限を与えず、役割を分担させることを指します。

例えば、「仕入の登録」をする人と「支払の承認」をする人を別々にすることなどがこれに当たります。この概念をITシステムに落とし込むのが「アクセス管理」です。開発の現場では、プログラミングのコードを書く前に、「このシステムでは、AさんのIDではこの画面は見せ、BさんのIDではこの操作を禁止する」というルールを定義書に落とし込み、それを開発者に指示しなければなりません。

このプロセスを意識することは、単に試験に合格するためだけでなく、将来ITエンジニアやシステム企画職として働く際に、「セキュリティは後付けではなく、企画の段階から組み込むもの」という「セキュリティ・バイ・デザイン」の考え方を身につけることにつながります。

参考リンク

• IPA 情報セキュリティマネジメントシステム（ISMS）とは
• 【ITパスポート】システム開発の流れ（要件定義〜保守・運用）をわかりやすく解説
• Zenn：セキュリティ・バイ・デザイン（Security by Design）を意識したWebアプリ開発の第一歩