基本情報技術者試験のサンプル問題(科目B)を解いてみよう。
今回のテーマは、「利用者権限」である。
問19
A 社は従業員 200 名の通信販売業者である。一般消費者向けに生活雑貨,ギフト商品などの販売を手掛けている。取扱商品の一つである商品 Z は,Z 販売課が担当している。
〔Z 販売課の業務〕
現在,Z 販売課の要員は,商品 Z についての受注管理業務及び問合せ対応業務を行っている。商品 Z についての受注管理業務の手順を図 1 に示す。
〔J システムの操作権限〕
Z 販売課では,J システムについて,次の利用方針を定めている。
[方針 1] ある利用者が入力した情報は,別の利用者が承認する。
[方針 2] 販売責任者は,Z 販売課の全業務の情報を閲覧できる。
J システムでは,業務上必要な操作権限を利用者に与える機能が実装されている。
この度,商品 Z の受注管理業務が受注増によって増えていることから,B 社に一部を委託することにした(以下,商品 Z の受注管理業務の入力作業を行う B 社従業員を商品 Z の B 社販売担当者といい,商品 Z の B 社販売担当者の入力結果を閲覧して,不備があれば A 社に口頭で差戻しを依頼する B 社従業員を商品 Z の B 社販売責任者という)。
委託に当たって,Z 販売課は情報システム部に J システムに関する次の要求事項を伝えた。
[要求 1] B 社が入力した場合は,A 社が承認する。
[要求 2] A 社の販売担当者が入力した場合は,現状どおりに A 社の販売責任者
が承認する。
上記を踏まえ,情報システム部は今後の各利用者に付与される操作権限を表 1 にまとめ,Z 販売課の情報セキュリティリーダーである C さんに確認をしてもらった。
正解:エ
問題のポイントを確認しよう
- 業務内容
- A社のZ販売課では、商品注文(変更、キャンセル含む)を販売担当者がJシステムへ入力し、販売責任者(課長)が承認する。
- 方針1:「入力した利用者とは別の利用者が承認する」(職務分離)
方針2:「販売責任者は全情報を閲覧できる」
- 今回の変更
- B社へ商品Zの入力作業を委託。
- B社販売担当者:入力作業を担当。
- B社販売責任者:入力内容を閲覧し、不備があればA社側に戻す。
- 要求条件
- B社が入力した場合はA社が承認する。
- A社販売担当者が入力した場合は、現状どおりA社販売責任者が承認する。
- B社へ商品Zの入力作業を委託。
設問のねらいは?
表1中の a1, a2 に当てはまるロール(役割)を選ぶ問題となっている。
- a1(閲覧のみするのは誰か?)
- a2(閲覧・入力するのは誰か?)
ここで重要なポイントは
- 職務の分離(入力者と承認者は異なること)
- 最小権限の原則(必要最小限の権限を与える)
各利用者の権限を判断しよう
- B社販売担当者
- 入力作業を行う → 入力権限が必要
- 業務上、自分の入力結果を見る必要がある → 閲覧権限も必要
- B社販売責任者
- B社販売担当者の入力結果をチェックする → 閲覧権限が必要
つまり、B社販売担当者には「入力・閲覧権限」を、B社販売責任者には「閲覧権限のみ」を与えるのが最小権限の原則に合致する。
表1の a1=「商品ZのB社販売責任者」、 a2=「商品ZのB社販売担当者」が正しい組合せとなる。
- a1(閲覧のみ):B社販売責任者
- a2(閲覧・入力):B社販売担当者
まとめ
| ポイント | 内容 |
|---|---|
| 職務分離 | 入力者と承認者は分ける |
| 最小権限 | ①入力者 → 入力+閲覧 ②承認者 → 閲覧のみ |
| 正解 | エ:B社販売責任者(閲覧のみ)、B社販売担当者(入力+閲覧) |
この問題では、方針・要求事項を整理し、登場人物の業務内容に合わせて必要な権限を判断する力が問われている。
コメント