Skip to content

Domain 5 Playbook

Scope

  • Domain: Identity and Access Management (IAM)
  • Dataset: data/cissp/domains/domain-5.json
  • Items: 419

出題の型

TypeTypical PromptWinning Pattern
認証方式どの認証を採用するかリスクに応じてMFA/強認証を適用
認可モデルRBAC/ABACをどう使うか職務と属性の組み合わせで最小権限
IDライフサイクル入社/異動/退職時に何をするかJoiner-Mover-Leaverを統制
連携/FederationSAML/OAuth/OIDCの使い分け信頼関係とトークン境界を明確化
特権管理管理者権限をどう制御するかJIT/PAM/分離統制

High-Signal Keywords (from 419 items)

TermPresence
認証569
アカウント278
ID250
RBAC160
MFA103
SAML75
認可66

Mindset

NG: Access-first

  • 先に権限を付与する
  • 例外ユーザーを恒久運用にする

OK: Identity-first

  • 先に本人性(Identity Proofing)を確定
  • 次に最小権限で認可
  • 変更/退職まで含めてライフサイクル管理

正解に寄せるルール

Rule IDRule
D5-R1first は本人確認とアカウント統制を優先
D5-R2認証と認可を混同しない
D5-R3役割ベースに属性条件を重ねて過剰権限を抑制
D5-R4退職・異動イベントを即時反映する
D5-R5特権は常時付与でなく時間限定で管理

誤答トラップ

  • 「MFAなしでも強いパスワードで十分」
  • 「共有アカウントで運用効率化」
  • 「退職者の無効化をバッチ任せで遅延」
  • 「認証成功=アクセス許可」

30秒解法フロー

  1. 認証問題か認可問題かを分離
  2. 主体(人/サービス/端末)の信頼を確認
  3. 最小権限・分離統制・ライフサイクルで比較
  4. 例外常態化の選択肢を除外

典型ミス

MistakeFix
SSOとFederationの混同信頼境界とトークン発行元で整理
RBACだけで過剰権限化ABAC条件を併用
退職処理の遅延JML手順を自動化し即時反映