令和4年度 ITパスポート試験 公開問題 問37 解説 内部統制とアクセス制御
システムによる内部統制を目的として,幾つかの機能を実装した。次の処理は,どの機能の実現例として適切か。 ログイン画面を表示して利用者 ID とパスワードを入力する。利用者 ID とパスワードの組合せがあらかじめ登録されている内容と一致する場合は業務メニュー画面に遷移する。一致しない場合は遷移せずにエラーメッセージを表示する。
- ア システム障害の検知
- イ システムによるアクセス制御 ✓ 正答
- ウ 利用者に対するアクセス権の付与
- エ 利用者のパスワード設定の妥当性の確認
解説
この問題の判断ポイントは、システムが「誰のアクセスを許可し、誰を拒否するか」という判断を行っている点にあります。IDとパスワードの照合による認証は、システム利用の入り口で正当な利用者かどうかを判定し、許可された者のみを先に進ませる仕組みであるため、アクセス制御に該当します。
アクセス制御とは
アクセス制御とは、コンピュータシステムやネットワーク上のデータに対して、許可された利用者だけが適切な権限でアクセスできるように制限する仕組みのことです。
具体的には、以下の3つのステップで構成されることが一般的です。
- 識別:ログインIDなどを入力して、自分が誰であるかを名乗る。
- 認証:パスワードや生体情報などを用いて、本人が本人であることを証明する。
- 認可:認証された利用者に対して、閲覧や編集などの操作権限を与える。
今回の問題文にある処理は、上記の1と2を行い、正しいと判断された場合のみ次へ進めるというアクセス制御の基本プロセスそのものです。
なぜ他の選択肢は誤りなのか
アのシステム障害の検知は、システムが正常に稼働しているかを監視し、異常時に管理者に通知する機能などを指します。利用者のログイン処理とは役割が異なります。
ウの利用者に対するアクセス権の付与は、システム管理者が「どのIDに、どのデータへのアクセスを許可するか」という設定を行う行為を指します。問題文はログインという「実行時の判定」の話をしているため、権限を付与する「事前の設定作業」とは区別する必要があります。
エの利用者のパスワード設定の妥当性の確認は、パスワード変更時などに「推測されにくい複雑な文字列になっているか」をチェックする機能です。今回のログイン時の照合とは目的が異なります。
実務でのアクセス制御の重要性
現代のIT環境では、アクセス制御は情報セキュリティの根幹をなす技術です。例えば、社内システムへのVPN接続、ファイルの共有設定、クラウドサービスでの二段階認証なども、すべてこのアクセス制御の一種です。ITパスポート試験では、認証技術(パスワード、生体認証、ワンタイムパスワード)とセットで出題されることが多いため、「アクセス制御=入り口の門番」というイメージを持つと問題を解きやすくなります。
- ITパスポート試験ドットコム:過去問解説 問37(平成30年秋期)
学習の記録にははてなブックマーク!
気づいたこと・覚えたことをコメントにメモしよう
