Appearance
Domain 5 Playbook
Scope
- Domain: Identity and Access Management (IAM)
- Dataset:
data/cissp/domains/domain-5.json - Items: 419
出題の型
| Type | Typical Prompt | Winning Pattern |
|---|---|---|
| 認証方式 | どの認証を採用するか | リスクに応じてMFA/強認証を適用 |
| 認可モデル | RBAC/ABACをどう使うか | 職務と属性の組み合わせで最小権限 |
| IDライフサイクル | 入社/異動/退職時に何をするか | Joiner-Mover-Leaverを統制 |
| 連携/Federation | SAML/OAuth/OIDCの使い分け | 信頼関係とトークン境界を明確化 |
| 特権管理 | 管理者権限をどう制御するか | JIT/PAM/分離統制 |
High-Signal Keywords (from 419 items)
| Term | Presence |
|---|---|
| 認証 | 569 |
| アカウント | 278 |
| ID | 250 |
| RBAC | 160 |
| MFA | 103 |
| SAML | 75 |
| 認可 | 66 |
Mindset
NG: Access-first
- 先に権限を付与する
- 例外ユーザーを恒久運用にする
OK: Identity-first
- 先に本人性(Identity Proofing)を確定
- 次に最小権限で認可
- 変更/退職まで含めてライフサイクル管理
正解に寄せるルール
| Rule ID | Rule |
|---|---|
| D5-R1 | first は本人確認とアカウント統制を優先 |
| D5-R2 | 認証と認可を混同しない |
| D5-R3 | 役割ベースに属性条件を重ねて過剰権限を抑制 |
| D5-R4 | 退職・異動イベントを即時反映する |
| D5-R5 | 特権は常時付与でなく時間限定で管理 |
誤答トラップ
- 「MFAなしでも強いパスワードで十分」
- 「共有アカウントで運用効率化」
- 「退職者の無効化をバッチ任せで遅延」
- 「認証成功=アクセス許可」
30秒解法フロー
- 認証問題か認可問題かを分離
- 主体(人/サービス/端末)の信頼を確認
- 最小権限・分離統制・ライフサイクルで比較
- 例外常態化の選択肢を除外
典型ミス
| Mistake | Fix |
|---|---|
| SSOとFederationの混同 | 信頼境界とトークン発行元で整理 |
| RBACだけで過剰権限化 | ABAC条件を併用 |
| 退職処理の遅延 | JML手順を自動化し即時反映 |