HOME»情報処理安全確保支援士掲示板»令和3年度秋期午後Ⅰ  問1  設問1(2)
投稿する

令和3年度秋期午後Ⅰ  問1  設問1(2) [1358]

 aさん(No.1) 
令和3年度秋期午後Ⅰ  問1  設問1(2)について

問題:
保守員の利用者IDには、一般利用者の権限を与える。この設定にした目的を「操作ログ」という字句を用いて25字以内で述べよ。

解答例:操作ログの改ざんや削除を防止するため
自分:操作ログへのアクセスをできないようにするため

操作ログに関して
「操作ログへのアクセスには特権利用者の権限が必要であり、それらのログの確認はJ社のシステム管理者が実施する」とあり、こちらが解答の根拠になると思われます。
個人的には、改ざんや削除以前に、アクセス自体ができてはダメ(参照もダメ)という認識だったので、アクセスの防止と答えたのですが、これだと誤答になるでしょうか?

安全確保支援士は次回初めて受験する予定なのですが、記述問題のクセ(?)を掴むのに苦労しています・・・。
2024.02.17 21:12
pixさん(No.2) 
SC ダイヤモンドマイスター
権限という言葉の定義が曖昧のようです。
設問で「一般利用者の権限を与える。」ありますので、解答では特権利用者と
一般利用者の行える操作の違いを明確に解答する必要があります。

オブジェクトに対する権限として以下のようなものがあります。
・Unix,Linuxのファイルアクセス(操作)権限(RWX)
  読み取り(R)
  書き込み(W)
  実行(X)
・データベースのアクセス(操作)権限(CRUD)
  作成(C)
  読み取り(R)
  更新(U)
  削除(D)

以上のようにアクセスという言葉はオブジェクトへ操作を行うといった広い意味での
言葉となっており、その中に個々の権限が存在しています。
それを踏まえてIPAの正答とスレ主様の解答を比較すると
IPAの正答:「操作ログの改ざんや削除を防止するため」
スレ主様の解答:「操作ログへのアクセスをできないようにするため」
のように、IPAの正答は具体的な操作権限について述べていますが、スレ主様の
解答は具体性がありません。
2024.02.17 21:28
 aさん(No.3) 
ご回答ありがとうございます。
〉・データベースのアクセス(操作)権限(CRUD)
たしかにこれで考えると、自分の「アクセス」という文言は具体性に欠けると納得致しました。
なるべく本文中の言葉で回答しないと、と意識しすぎました。
とても分かりやすいご説明ありがとうございました。
2024.02.17 21:35
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop