ITパスポート 2011年 秋期 問81
問題文
職場でのパスワードの取扱いに関する記述a〜dのうち、適切なものだけを全て挙げたものはどれか。
a 業務で使用するパスワードをプライベートでWebサービスに利用する。
b 個人用パスワードはシステム管理者にも教えない。
c パスワードは定期的に変更するだけでなく、第三者に知られた可能性がある場合にも変更する。
d 付与された初期パスワードは、最初にログインしたときに変更する。
選択肢
ア:a, b, c
イ:a, c
ウ:b, c, d(正解)
エ:c, d
🔒 解説は解答すると表示されます
職場でのパスワードの取扱いに関する記述a〜d【ITパスポート 解説】
正解の理由
- b(個人用パスワードはシステム管理者にも教えない)
パスワード(password:本人だけが知る秘密の文字列)は本人認証のための秘密情報です。システム管理者(サービスやシステムの運用・管理をする人)であっても、個人用パスワードを教えるべきではありません。管理者側で必要な作業がある場合は、管理者用の仕組み(リセット機能や管理者権限)を使います。 - c(パスワードは定期的に変更するだけでなく、第三者に知られた可能性がある場合にも変更する)
定期変更(周期的に変える)に加え、漏えいの疑いがあるときは直ちに変更することが基本です。漏れた可能性があるまま使い続けると不正アクセスされる危険があります。 - d(付与された初期パスワードは、最初にログインしたときに変更する)
初期パスワード(最初に与えられる仮のパスワード)は管理者や配布経路で知られている場合が多いので、最初のログイン時に自分だけが知るパスワードに変更することが重要です。
a(業務で使用するパスワードをプライベートでWebサービスに利用する)は不適切です。業務用のパスワードを個人のWebサービスなどで使い回すと、個人サービス側の漏えいで業務アカウントも危険にさらされます(パスワード使い回しのリスク)。
解法ステップ
- 各記述の「安全な扱いか」を基準に判断します。ポイントは「秘密にすべきか」「漏れたらどうするか」「初期状態での扱い」です。
- a:業務用パスワードを別のサービスで使う=使い回し。これはセキュリティ上の大きなリスク → 不適切。
- b:個人用パスワードは本人の秘密。管理者にも教えないのが原則 → 適切。
- c:定期変更+漏えい疑い時の変更は当然の対策 → 適切。
- d:初期パスワードは既知の可能性があるため最初に変更 → 適切。
- 以上より、正しい記述だけを選ぶと b, c, d → 選択肢は ウ。
選択肢別の誤答解説
- ア: a, b, c
a が含まれているため誤り。業務用パスワードの私的流用(使い回し)は危険です。 - イ: a, c
a が不適切なので誤り。c は正しいが a のせいで選べません。 - ウ: b, c, d
正解。b(共有しない)、c(定期変更+漏洩時変更)、d(初回変更)はいずれも基本的なパスワード運用ルールです。 - エ: c, d
b が抜けています。個人用パスワードを管理者に教えるべきではないという重要な点が含まれていないため不完全です。
よくある誤解
- 「管理者にパスワードを教えれば安心」
管理者でもパスワードを直接知らない方が安全です。問題発生時は「パスワードリセット」などの仕組みを使います。 - 「定期的に変えれば何でもOK」
変更頻度だけで安心するのは危険です。パスワードの長さ・複雑さ、使い回しの禁止、二要素認証(2FA)など他の対策も必要です。 - 「初期パスワードは変えなくても問題ない」
初期パスワードは既知である場合が多く、すぐに変更しないと不正に使われる可能性があります。
補足コラム
- パスワード管理の便利な方法:パスワードマネージャー(password manager:複数のパスワードを安全に保存・管理するソフト)を使うと、サービスごとに長くて複雑なパスワードを使い分けられます。多くは暗号化され、マスターパスワード一つで開けますが、そのマスターパスワードは特に強固にしてください。
- 二要素認証(2FA、two-factor authentication:2つの要素で本人確認する仕組み)は、パスワードが漏れてもアカウントを守る強力な手段です。ワンタイムパスワード(使い捨ての番号)やスマホアプリの確認などがあります。
- もしパスワードを誤って教えてしまった・漏れた疑いがある場合は、直ちに変更し、所属部署の情報セキュリティ担当へ報告してください。
FAQ
Q1: 管理者にどうしても作業してもらう必要があるときは?
A1: パスワードを教えるのではなく、管理者権限でのログインやパスワードリセット機能、画面共有での指示など、パスワードを渡さない方法を使います。業務上やむを得ない場合でも、社内ルールに従って記録・承認を取るべきです。
A1: パスワードを教えるのではなく、管理者権限でのログインやパスワードリセット機能、画面共有での指示など、パスワードを渡さない方法を使います。業務上やむを得ない場合でも、社内ルールに従って記録・承認を取るべきです。
Q2: パスワードはどれくらいの頻度で変えればよいですか?
A2: 最近のセキュリティ方針では「無意味な頻繁な変更」は推奨されない場合もあります。定期変更は組織のポリシーによりますが、漏えいが疑われる時は直ちに変更することが最優先です。普段は長くて複雑なパスワード+2FAが有効です。
A2: 最近のセキュリティ方針では「無意味な頻繁な変更」は推奨されない場合もあります。定期変更は組織のポリシーによりますが、漏えいが疑われる時は直ちに変更することが最優先です。普段は長くて複雑なパスワード+2FAが有効です。
Q3: 初期パスワードを忘れたらどうする?
A3: 自分で変更できる場合はリセット手順に従い、できない場合はシステム管理者に「リセット」を依頼します。その際も現在の(個人用の)パスワードを教えてはいけません。
A3: 自分で変更できる場合はリセット手順に従い、できない場合はシステム管理者に「リセット」を依頼します。その際も現在の(個人用の)パスワードを教えてはいけません。
関連キーワード: パスワード管理、パスワード使い回し、初期パスワード、二要素認証(2FA)、情報セキュリティ、システム管理者、パスワードマネージャー

\ せっかくなら /
ITパスポートを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!

