僕の高度情報処理試験・勉強日誌~ITSM編!! 第39回 H22/問4・設問3(3)
さて、設問3だけでなく、問4でもなく、ついにH22度ラストです。
いやぁ長かったです。って僕のさぼりもありますけど(苦笑)
◆問題じっくり読みます。キーワードもじっくり・・・
①特権IDの運用改善策
②特権ID管理者に対する統制
③セキュリティ要件に適合した背作内容
です。
①で、該当箇所のまずは指摘部分からその改善方法。
指摘:特権ID運用についての管理者による不正防止の規定順守に問題ですぜ。
改善策:サーバ管理者とは別に特権ID管理者設定し、職務分離します。
って感じですね。
で、特権IDって、そもそもなんでしたっけ?という疑問がわき、リードバックで以下の箇所を〔購買管理システムの利用状況〕で発見
(記述部分は僕なりに意訳してます)。
特権IDとは
①システム構成の管理、アカウントの管理
②サーバの起動、停止、データ変更
③①②を情報システム部のサーバ管理者に利用限定
とまぁ大体こんな感じですね。
で、指摘部分の、管理者による不正防止の規定って何でしょう?
これ、リードバックして、表 セキュリティ要件 を見ます。
管理者による不正利用→承認者と行為者の職務を分離する事
とありました。
で、これが順守されていないという指摘で、じゃあ別途特権ID管理者を設定するという事なので、上記①②を司るのがサーバ管理者から特権ID管理者に変更です。
で、セキュリティ要件で言うところの承認者と行為者が、それぞれ
承認者:特権ID管理者
行為者:特権ID
という事かなと思いましたので、問われている施策内容は、
承認者(特権ID管理者)は行為者(特権ID)での運用作業が正しく行われているか確認し、正しければ承認するという事ではないかと思われます。
僕の解答は、
特権ID管理者が、特権IDで作業した内容の承認を行うようにする。
32文字/40
でした。
模範解答は、
特権ID管理者は、承認だけ行い、特権IDを使った操作はできないようにする。
との事でした。
解答より、まず、特権ID管理者は承認権はあっても操作権はないという事を明確に解答として、施策内容として書くべきだなと思いました。
僕の解答は、承認のみで、操作不可という観点が抜けてましたので半分ですかねぇ。
という事で・・・
いやあ、これで終わりですが、なんか以前書きましたけど、この問題は、他の問題に比べてかなり難しい解答の作り方というか考え方かなと感じました。
僕だけかもしれませんが。
少なくても僕がこの問4選択していたら完全アウト-でしたのでやはり冒頭の2セレ方式と2択方式の直観力は最重要課題と思われます。
という事で、H22年のPM1の全問題いかがでしたか?
セキュリティ関連の問題なので、最近のべ●●セ事件でもこの不正利用は適合です。
出題年度は昔でも結構重要な観点と思われるのでまとめておこうと思います。
もしかしたら今年出るかもです。って言ってでなかったらすみません(苦笑)。
次回は何年やるかなぁという事もありますが、PM2の題意とか攻略法の自分なりの勉強も視野に入れる時期だなと思われます。
PM2もきっと僕なりになにかしら攻略というか、必勝法というか、必殺技があるはずです(笑)
よろしければ、ここで記録です。
ということで・・・
まずは自分に気合です!!!
でわまた。