Appearance
Trainer 09: D5 Drill Pack (IAM)
目的
Domain 5で最も多い混同(認証/認可/IDライフサイクル/Federation)を短時間で矯正する。
D5で鍛える3軸
| Axis | 失点しやすい点 | 修正方針 |
|---|---|---|
| 認証 vs 認可 | 本人確認と権限付与を混同 | Who are you? と What can you do? を分離 |
| RBAC vs ABAC | 役割だけで過剰権限 | 役割 + 属性条件で最小権限 |
| JML運用 | 退職/異動の権限剥奪遅延 | Joiner-Mover-Leaverの即時反映 |
問題タイプ別ドリル
Type A: 認証方式選定
- 問い: 最も適切な認証強化策は何か
- 勝ち筋: リスク高 -> MFA必須、特権アクセスは追加制御
- NG選択肢: 強いパスワードのみ、共有アカウント
Type B: 認可モデル選定
- 問い: RBAC/ABACの使い分け
- 勝ち筋: 業務役割はRBAC、環境条件はABACで補完
- NG選択肢: 全ユーザー固定ロール、例外常態化
Type C: IDライフサイクル
- 問い: 最初に改善すべきIAMプロセス
- 勝ち筋: 退職・異動イベントの即時プロビジョニング/デプロビジョニング
- NG選択肢: 週次バッチ無効化、手動依存
Type D: Federation
- 問い: SAML/OAuth/OIDCの文脈判定
- 勝ち筋: 認証連携か、認可委任か、IDトークンかを切り分け
- NG選択肢: 仕様名だけで選ぶ
30秒判定テンプレ
- 主体は人かサービスか
- 認証問題か認可問題か
- 恒久権限か一時権限か
- 監査証跡が残るか
誤答修正ルール(D5)
| Error | Fix Rule |
|---|---|
| 認証と認可を混同 | 「本人確認を先に、権限は後に」を口頭化 |
| 退職処理が弱い選択肢を選ぶ | Disable now, not later を固定ルール化 |
| Federationを暗記で当てる | ユースケース(認証連携/認可委任)で判定 |
反復メニュー(20分)
- 8分: Type A/B 混合 6問
- 8分: Type C/D 混合 6問
- 4分: 誤答ルール1行化