情報セキュリティ関連の試験問題では、最小特権の原則、職務分離の原則について問われることがあります。

 

最小特権・最小権限の原則 (Least Priviledge)

ユーザやグループが、その業務を遂行するのに必要な最小限度の権限（特権）のみを許可することです。

職務分離・責務分離の原則 (Separation of Duty)

ユーザの役割や責任に基づいて、職務や責務を分離することです。

 

簡単な問題で確認してみましょう。

問題：ユーザやグループにアクセスを許可する場合に、その業務に関連するアクセスのみ許可することは、次のどのセキュリティ方針に合致しますか。

ア　最小特権

イ　職務の分離

ウ　アクセス管理

 

正解は、アの最小特権です。

 

次に、平成18年度テクニカルエンジニア（情報セキュリティ）午後２試験の問１の問題文より一部を抜き出してみました。なお、試験問題の全文は、情報処理技術者試験センターの Web サイト http://www.jitec.jp/ にて公開されています。

・
・
・
例えば、データベース管理とオペレーションの業務を同一の者が実施するのは、セキュリティの観点からは適切な対応とは言えないね。[ a ] の原則を徹底するためには、人事管理システムの運用体制を含めて考えなければならないな。
・
・
・
例えば、本社管理部の人事グループの人材管理担当者が、ＳＷ事業部からの要請でセキュリティ技術をもった人材を探す場合には、スキルやグループの情報にアクセスする必要がありますが、給与担当者の場合には、本給や交通費など業務に関係する情報だけを参照できれば十分です。ＲＤＢでこのようなアクセス制御を行うには、どんな方法があるのでしょうか。
・
・
・
ＲＤＢの設計でも対応できると思います。この場合、表と利用者ビューは、利用者の業務要件を満たすように設計します。利用者が人事情報ＤＢへアクセスする場合には、この利用者ビューだけが利用可能となるように制御すれば、[ a ] の原則が徹底できると思います。
・
・
・

[ a ] に入れる適切な字句を答える設問です。試験センターが公表している正解は、「責務の分離」です。

両方の [ a ] には同じ字句が入ることからすると、ちょっと混乱してしまいそうです。

２番目の [ a ] に関しては、最小特権とも考えられそうですが、例えば、人材管理担当者と給与担当者の責務分離を維持するために必要なアクセス制御方法を設計した、つまり、責務の分離の原則を徹底、ということにもなりましょうか。