Skip to content

Trainer 09: D5 Drill Pack (IAM)

目的

Domain 5で最も多い混同(認証/認可/IDライフサイクル/Federation)を短時間で矯正する。

D5で鍛える3軸

Axis失点しやすい点修正方針
認証 vs 認可本人確認と権限付与を混同Who are you?What can you do? を分離
RBAC vs ABAC役割だけで過剰権限役割 + 属性条件で最小権限
JML運用退職/異動の権限剥奪遅延Joiner-Mover-Leaverの即時反映

問題タイプ別ドリル

Type A: 認証方式選定

  • 問い: 最も適切な認証強化策は何か
  • 勝ち筋: リスク高 -> MFA必須、特権アクセスは追加制御
  • NG選択肢: 強いパスワードのみ、共有アカウント

Type B: 認可モデル選定

  • 問い: RBAC/ABACの使い分け
  • 勝ち筋: 業務役割はRBAC、環境条件はABACで補完
  • NG選択肢: 全ユーザー固定ロール、例外常態化

Type C: IDライフサイクル

  • 問い: 最初に改善すべきIAMプロセス
  • 勝ち筋: 退職・異動イベントの即時プロビジョニング/デプロビジョニング
  • NG選択肢: 週次バッチ無効化、手動依存

Type D: Federation

  • 問い: SAML/OAuth/OIDCの文脈判定
  • 勝ち筋: 認証連携か、認可委任か、IDトークンかを切り分け
  • NG選択肢: 仕様名だけで選ぶ

30秒判定テンプレ

  1. 主体は人かサービスか
  2. 認証問題か認可問題か
  3. 恒久権限か一時権限か
  4. 監査証跡が残るか

誤答修正ルール(D5)

ErrorFix Rule
認証と認可を混同「本人確認を先に、権限は後に」を口頭化
退職処理が弱い選択肢を選ぶDisable now, not later を固定ルール化
Federationを暗記で当てるユースケース(認証連携/認可委任)で判定

反復メニュー(20分)

  • 8分: Type A/B 混合 6問
  • 8分: Type C/D 混合 6問
  • 4分: 誤答ルール1行化