情報セキュリティ対策比較問題
認証(Authentication)と認可(Authorization)の違いについて、最も適切な説明はどれか。
A.認証はユーザーが本人であることを確認するプロセスであり、認可はそのユーザーが特定のリソースにアクセスする権限があるかを判定するプロセスである。← 正解
✓ 正解です。認証は「あなたは誰か」を確認し、認可は「あなたは何ができるか」を判定します。
B.認証と認可は同じ意味で、どちらもユーザーの身元確認を目的としている。
✗ 認証と認可は異なる概念です。認証は身元確認、認可はアクセス権限判定であり、順序が重要です。
C.認可はユーザーが本人であることを確認し、認証はアクセス権限を判定する。
✗ 説明が逆です。正しくは、認証がユーザーの本人確認で、認可がリソースアクセス権限の判定です。
D.認証はパスワード認証のみを指し、認可は多要素認証を指している。
✗ 認証と認可の定義が不正確です。認証は確認手段ではなく確認プロセス全体を、認可は権限判定を指します。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…