だんだんノリとしてはアドベントカレンダー的になってきました。このCISSP資格試験のための練習問題シリーズを、毎日少なくともクリスマスまで続けたいと思います。
定期的なアクセスレビューの目的は何ですか?
a. アクセスの承認
b. データの暗号化
c. プロビジョニングの実施
d. アカウントが正しいことの確認
正解:d
定期的なレビューは、プロビジョンされたアカウントが依然として正確であるかどうかを確認するために行われます。不要なアカウントや過剰な権限を持つアカウントは、撤廃アクションを使用して終了する必要があります。
他の選択肢が間違っている理由
a. アクセスの承認はレビューの目的ではありません。承認はアクセスリクエストの段階で行われます。
b. データの暗号化はレビューの目的ではありません。レビューはアカウントの正確性を確認するために行われます。
c. プロビジョニングの実施はレビューの目的ではありません。レビューは既存のアカウントの状態を確認するために行われます。
用語として少しわかりにくいかもしれませんが、アカウントが正しい状態であるかどうかを確認するレビューをアカウントアクセスレビュー、あるいは短くアクセスレビューといいます。このレビューではこのアカウントがまだ必要かあるいは不要か、必要な場合認可されている権限は適切かどうかなどが検討されます。そしてレビュー結果に従って権限の修正やアカウント自体の削除、一時停止、終了などの処置が取られることがあります。