情報処理安全確保支援士試験 2010年 秋期 午後1 問02
利用者IDのライフサイクル管理に関する次の記述を読んで,設問1〜4に答えよ。
E社は、従業員数が500名、派遣社員数が常時200名程度の商社である。取扱商品分野ごとに事業部があり、メーカーから商品を仕入れて販売店に卸している。E社には、販売管理、営業管理、会計、人事管理などの業務をそれぞれ支援する各サブシステムからなるシステム(以下、Eシステムという)がある。主要な業務は、Eシステムを使用しながら遂行されており、すべての従業員は、日常的にEシステムを使用している。他社に出向している従業員も、様々な手続のために頻繁にE社に出社してEシステムを使用する。休職者については、セキュリティの観点からすべてのサブシステムについて、アカウント管理者が利用者ID(以下、UIDという)を利用停止に変更することになっている。
UID管理は、サブシステムごとに独自に行っているが、従業員と対応しないUIDがあったり、UIDの管理内容に全社的な統一性がなかったりするなどの問題があった。これらを抜本的に改善するために、E社では、新しくUID管理システムを構築することにした。UID管理システムでは、UIDの管理を徹底するためにUID管理を一元化するとともに、退職時にUIDを確実に削除できるように人事管理システムと連携させることにした。UID管理システムの構築のために、情報システム部が中心となってプロジェクトチームを立ち上げた。
はじめに、人事管理システムと連携させるために、入社や異動、退職といった人事上のイベント発生時(以下、人事イベント発生時という)の利用者情報に対する処理を表のとおり整理した。ここで、利用者情報の属性として“UID名”、“パスワード”、“UIDの状態”、“従業員名”、“従業員番号”、“UID発行年月日”、“所属部門名”、“出向フラグ”、“出向先名”、“休職フラグ”、“UID最終利用年月日”を定義し、“UIDの状態”の値(以下、状態値という)としては、“仮パスワード”、“有効”、“無効”、“一時利用停止”を定義した。一方、各サブシステムの利用権限については、引き続き各サブシステム側で管理することにした。
〔人事管理システム及び各サブシステムとの連携〕
プロジェクトチームでは,UID 管理システムと,人事管理システム及び各サブシステムとの連携を検討し,次のように決定した。
人事管理システムとの連携では,毎日,人事管理システムから従業員情報を取得し,UID 管理データベースに格納する。各サブシステムとの連携では,UID 管理データベースの変更のたびに各サブシステムに対して利用者情報を配布する。
これによって,利用者情報を一元的に管理する。パスワードの初期化及び変更は,各サブシステムではなく,UID 管理システムで行い,変更後のパスワードは各サブシステムに反映され,各サブシステム間のパスワードの同期がとられる。
〔従業員のUID管理〕
プロジェクトチームでは,従業員の UID 管理を検討するために,E 社の情報セキュリティ規程から,UID に関する項目を抽出し,次のとおりにまとめた。
(1) システム管理者が利用する OS の特権 ID を除き,UID は利用者ごとに発行され,複数の利用者が共用することを禁止する。
(2) 情報システム部にアカウント管理者を置く。
(3) UID は,利用されない期間が,ある日数(以下,許容無使用期間という)を超えた場合に状態値を “無効” にする。許容無使用期間は 100 日とする。
(4) UIDに対応したパスワードは、次のルールに従わなければならない。
(a) 10文字以上
(b) 数字、英文字、記号が、それぞれ2文字以上
(5) UIDのパスワードを連続して5回間違えた場合、状態値を“一時利用停止”にする。
プロジェクトチームでは、UIDの管理のうち規程に明文化されていない部分について、次のように案をまとめた。
(ア) 人事イベント発生時におけるUIDの発行、状態変更及び削除、並びに初期化依頼に対するパスワードの初期化は、アカウント管理者が行う。
(イ) UIDの発行時には仮パスワードを設定する。
(ウ) 仮パスワードの発行を受けた従業員は、72時間以内にパスワードを設定しなければならない。パスワードを設定するまでは、各サブシステムを利用することはできない。仮パスワードのまま72時間経過した場合は、UIDを削除する。
(エ) “一時利用停止”の状態は、24時間後に自動的に解除される。ただし、緊急に利用しなければならない場合は、アカウント管理者の通常勤務時間内であれば、アカウント管理者にファックス、電話などの何らかの方法でコンタクトし、初期化依頼する。依頼を受けたアカウント管理者は、直ちにパスワードを初期化し、依頼者が指定する方法で仮パスワードを連絡する。
(オ) 各サブシステムのログイン履歴は、UID管理システムに送られる。
プロジェクトチームでは、上記(1)〜(5)及び(ア)〜(オ)に基づく、UID管理システムにおける従業員のUIDの状態遷移を、図のようにまとめた。
〔派遣社員の UID 管理〕
プロジェクトチームでは、派遣社員の UID 管理を検討した。各サブシステムは、従業員のほか、派遣社員も利用する。派遣社員は、人事管理システムで管理されていない。そのため、派遣社員に関する契約期間に基づいて UID を管理することになる。
プロジェクトチームでは、派遣社員の UID 管理の内容を、従業員の UID 管理に準じて整理することにした。すなわち、情報セキュリティ規程や UID 管理システムの要件などにおいて、従業員の人事イベントを派遣社員に関する契約開始、契約終了(満了及び解除)に対応して読み替えることにした。例えば、表中の人事イベント “入社” を “契約開始” に、“退職” を “契約終了” に読み替えることにした。
派遣社員に関する契約は、各事業部が主体的に行っているが、契約開始時には、契約管理部の承認を得ている。E社の契約内容に関する規程によって、契約開始日は月初日、満了日は月末日に限定すること、有期限の期間契約とすること、及び自動継続契約は行わないことが決められており、これらは、契約管理部によって厳格に確認されている。
どの事業部も、契約管理には、表計算ソフトや専用管理ソフトを利用しているが、それらのソフトウェアと UID 管理システムを連携させることは困難である。そこで、プロジェクトチームでは、UID 管理システムを利用して派遣社員の UID の発行及び削除を申請する仕組みを検討した。しかし、この仕組みは、各事業部が業務上の必要性に迫られる契約開始時における UID の新規発行申請には利用してもらえるとしても、契約満了時の削除申請には利用してもらえないだろうとの意見が出た。
このため、まず契約満了者の UID を確実に削除できる運用を検討した。第 1 案は、“無効”状態にある UID を、情報システム部が毎月初日に一括削除する運用である。第 2 案は、UID の発行申請時に設定する①属性を追加して、UID 管理システムが毎日その値を点検して自動的に UID を削除する運用である。第 1 案は、②UID の許容無使用期間と UID の一括削除の運用日程によって、契約満了後から削除されるまで一定の時間が掛かるという問題があった。また、契約満了後の UID が、削除されずに使い回されると、削除すべき UID が検出できない。そこで、第 2 案を採用することにした。
プロジェクトチームでは、これまでの UID 管理の検討結果をまとめ、情報システム部長に報告した。報告を受けた部長は、派遣社員の契約では契約満了前に契約解除となるケース(以下、満了前解除ケースという)がまれに発生することと、現状の従業員の UID 管理では、③何者かがなりすまして他者の UID のパスワードを不正取得できるリスク(以下、パスワード不正取得リスクという)があることを指摘した。
指摘を受けたプロジェクトチームは、④満了前解除ケースに対しても確実に UID が削除できるような運用を追加し、派遣社員の UID を確実に削除できるようにした。また、パスワード不正取得リスクに対しては、⑤具体的な手続を定めることで解決することにした。以上の内容で情報システム部長の承認を得て、引き続いて UID 管理システムの構築に着手した。
利用者IDのライフサイクル管理に関する次の記述を読んで,設問1〜4に答えよ。
設問1:利用者情報に対する処理及び状態遷移について、(1)〜(3)に答えよ。
(1)表中の[ a ], [ b ]に入れる適切な状態値は何か。図中の字句を用いて答えよ。
模範解答
a:無効
b:有効
解説
解答の論理構成
- 状態値の候補は【問題文】に示された
“仮パスワード”、“有効”、“無効”、“一時利用停止” の4種類のみである。
引用:“UIDの状態”の値(以下、状態値という)としては、“仮パスワード”、“有効”、“無効”、“一時利用停止”を定義した。 - 休職者の扱い
引用:休職者については、セキュリティの観点からすべてのサブシステムについて、アカウント管理者が利用者ID … を利用停止に変更することになっている。
休職=利用停止 ⇒ ログイン不許可が望ましい。ログイン不許可を示す状態値は “無効” である。 - 復職者の扱い
復職後は通常業務に戻るためログイン許可が必要。ログイン許可を示す状態値は “有効” である。 - 以上より
a:休職時 → “無効”
b:復職時 → “有効”
誤りやすいポイント
- “休職=一時利用停止” と考えてしまう
“一時利用停止” は【問題文】(5) の「UIDのパスワードを連続して5回間違えた場合」に適用される別ルール。 - “復職=仮パスワード” と誤解する
“仮パスワード” は新規発行や初期化時にのみ設定される。 - “無効=削除済み” と混同する
“削除” はUID自体が存在しない状態,“無効” はUIDは残るがログインできない状態。
FAQ
Q: “無効” と “一時利用停止” はどう使い分けますか?
A: “無効” は休職や長期未使用など管理者判断でログインを恒常的に止める場合、“一時利用停止” はパスワード連続誤入力時の自動ロックで24時間後に解除される一時的措置です。
A: “無効” は休職や長期未使用など管理者判断でログインを恒常的に止める場合、“一時利用停止” はパスワード連続誤入力時の自動ロックで24時間後に解除される一時的措置です。
Q: 復職時に “有効” へ戻す際、パスワードはそのままですか?
A: “無効” から “有効” に戻すだけでよく、パスワード初期化は不要です(問題文にパスワード変更指示なし)。
A: “無効” から “有効” に戻すだけでよく、パスワード初期化は不要です(問題文にパスワード変更指示なし)。
Q: 休職中に UID を削除しないのはなぜですか?
A: 復職が前提であるため、削除すると再発行・権限再設定の手間が増えるからです。状態を “無効” にすることでセキュリティを確保しつつ復職後に即時復帰できます。
A: 復職が前提であるため、削除すると再発行・権限再設定の手間が増えるからです。状態を “無効” にすることでセキュリティを確保しつつ復職後に即時復帰できます。
関連キーワード: アカウント管理, IDライフサイクル, 状態遷移, パスワードポリシ, セキュリティ運用
設問1:利用者情報に対する処理及び状態遷移について、(1)〜(3)に答えよ。
(2)図中の[ c ], [ d ]に入れる適切な字句を, [ c ]は5字以内で, [ d ]は20字以内で答えよ。
模範解答
c:不許可
d:パスワードを設定してください。
解説
解答の論理構成
-
【問題文】では“仮パスワードの発行を受けた従業員は、72時間以内にパスワードを設定しなければならない。パスワードを設定するまでは、各サブシステムを利用することはできない。”と記述されています。
• 「利用することはできない」=ログイン不可であるため、状態遷移図の“各サブシステムに対するログインの認可”欄には「不許可」と入るのが自然です。
⇒ [ c ] = “不許可” -
同じ引用文に続き、利用者がやるべきことは「パスワードを設定」することだと明示されています。
• 状態遷移図では“利用者への表示メッセージ”欄が設けられており、仮パスワード状態の利用者には次の行動を促す案内が必要です。
• したがって “パスワードを設定してください。” という内容が最適です。
⇒ [ d ] = “パスワードを設定してください。”
誤りやすいポイント
- “仮パスワード”という語から「一時的にでもログインできる」と早合点し、[ c ] に “許可” を入れてしまう。
- メッセージ [ d ] に「変更してください」や「初期化してください」など不要な語句を混ぜてしまう。
- 規程 (ウ) を見落とし、72時間ルールとログイン不可を結び付けられない。
FAQ
Q: 仮パスワード状態でも一部機能だけ使わせる運用は現場でありがちですが、本問では本当に全面ログイン不可なのですか?
A: はい。【問題文】に“パスワードを設定するまでは、各サブシステムを利用することはできない。”と明示されており、部分利用の余地はありません。
A: はい。【問題文】に“パスワードを設定するまでは、各サブシステムを利用することはできない。”と明示されており、部分利用の余地はありません。
Q: [ d ] に「直ちに」や「速やかに」を付けても減点になりますか?
A: 指示内容が変化し、原文趣旨から離れる恐れがあります。試験では端的に“パスワードを設定してください。”とするのが安全です。
A: 指示内容が変化し、原文趣旨から離れる恐れがあります。試験では端的に“パスワードを設定してください。”とするのが安全です。
Q: 72時間経過後は自動で削除されるのに、なぜ“無効”にせず最初から“不許可”なのですか?
A: “不許可”はログイン可否を示す属性であり状態値ではありません。状態は“仮パスワード”のままですが、ログインは認可されない――この二層構造を図で表現しています。
A: “不許可”はログイン可否を示す属性であり状態値ではありません。状態は“仮パスワード”のままですが、ログインは認可されない――この二層構造を図で表現しています。
関連キーワード: アカウント管理, パスワードポリシー, ライフサイクル管理, 状態遷移, ログイン認可
設問1:利用者情報に対する処理及び状態遷移について、(1)〜(3)に答えよ。
(3)図中の[ e ]に入れる適切な字句を15字以内で答えよ。
模範解答
e:24時間を超えた
解説
解答の論理構成
- 図中の[ e ]は、「状態:有効」から「状態:一時利用停止」に遷移する矢印上に置かれた補足情報です。
- 該当矢印の遷移条件は【問題文】の「(5) UIDのパスワードを連続して5回間違えた場合、状態値を“一時利用停止”にする。」に該当します。
- さらに、一時利用停止の解除条件は【問題文】の「(エ) “一時利用停止”の状態は、24時間後に自動的に解除される。」と定義されています。
- 遷移図では、解除条件(24時間経過)を視覚的に示すために矢印上の小矩形に記載する方式が採られており、これが[ e ]の役割です。
- したがって、[ e ]に入る字句は「24時間を超えた」となります。
誤りやすいポイント
- 「72時間を超えた」は仮パスワード保持や一時利用停止状態からの削除条件であり、解除条件ではないため混同しやすいです。
- 「100日を超えた」は無効化の条件です。回数制限解除とは無関係です。
- “一時利用停止”の解除は「アカウント管理者による初期化」も存在しますが、これは別矢印で明示されており[ e ]とは関係ありません。
FAQ
Q: 一時利用停止が24時間経過で自動解除される場合、利用者は何か操作を行う必要がありますか?
A: いいえ。24時間が経過すると UID 管理システムが自動的に状態値を“有効”へ戻します。
A: いいえ。24時間が経過すると UID 管理システムが自動的に状態値を“有効”へ戻します。
Q: 24時間経過前でも利用を再開したい場合はどうすればよいですか?
A: 【問題文】の「(エ) …アカウント管理者にファックス、電話などの何らかの方法でコンタクトし、初期化依頼する。」に従い、管理者に初期化を依頼します。
A: 【問題文】の「(エ) …アカウント管理者にファックス、電話などの何らかの方法でコンタクトし、初期化依頼する。」に従い、管理者に初期化を依頼します。
Q: 一時利用停止中に再度パスワードを誤入力した場合、停止時間が延びることはありますか?
A: ありません。“一時利用停止”は既にログインが不能な状態で、追加の失敗回数はカウントされません。
A: ありません。“一時利用停止”は既にログインが不能な状態で、追加の失敗回数はカウントされません。
関連キーワード: アカウントロック, パスワードリセット, ログイン試行制限, 状態遷移図, UID管理
設問2:〔派遣社員のUID 管理〕 について、(1)〜(3)に答えよ。
(1)本文中の下線①について、追加すべき属性を15字以内で答えよ。
模範解答
UID削除予定日 又は 契約満了予定日 又は アカウント終了予定日
解説
解答の論理構成
-
第 2 案の説明には、次の記述があります。
「“第 2 案は、UID の発行申請時に設定する①属性を追加して、UID 管理システムが毎日その値を点検して自動的に UID を削除する運用”」
→ ここで追加する属性は「いつ削除するか」を示す日付であると読み取れます。 -
そもそも派遣社員 UID の削除タイミングは “契約満了” に合わせるのが目的です。本文には、
「“契約開始日は月初日、満了日は月末日に限定すること”」
とあり、契約満了日が明確に管理されています。 -
UID 管理システムが毎日点検するためには、具体的な日付を属性として保持し、当日になれば削除フラグを立てるのが最もシンプルです。
-
以上より、①属性は「契約満了日を示す項目」、すなわち
「契約満了予定日」
とするのが妥当です。模範解答の「UID削除予定日」「アカウント終了予定日」も、同じ意味で日付を保持する点が共通しています。
誤りやすいポイント
- 「派遣社員は,人事管理システムで管理されていない」という前提を見落とし、人事イベント用の属性(所属部門名など)を流用すれば済むと早合点してしまう。
- 「許容無使用期間は 100 日とする。」との記述に引きずられ、「最終利用日」だけで判定できると誤解し、日付属性の追加不要と判断してしまう。
- 「毎月初日に一括削除する運用」を第 2 案にも適用できると考え、削除予定日ではなく「無効化日」など別のフラグを提案してしまう。
FAQ
Q: 契約満了が延長された場合はどうなりますか?
A: 事業部が延長契約を結んだ時点で「契約満了予定日」を更新する運用を追加すれば、UID は自動削除対象から除外されます。
A: 事業部が延長契約を結んだ時点で「契約満了予定日」を更新する運用を追加すれば、UID は自動削除対象から除外されます。
Q: 「UID削除予定日」と「契約満了予定日」のどちらを選ぶかで運用に違いはありますか?
A: 用語が異なるだけで目的は同じです。自動削除の判定基準となる日付を保持できれば、運用フローに違いはありません。
A: 用語が異なるだけで目的は同じです。自動削除の判定基準となる日付を保持できれば、運用フローに違いはありません。
Q: 一括削除運用を残しておくメリットはありますか?
A: システム障害や入力漏れで削除予定日が登録されなかった UID を後追いで検出できるセーフティーネットになります。
A: システム障害や入力漏れで削除予定日が登録されなかった UID を後追いで検出できるセーフティーネットになります。
関連キーワード: ライフサイクル管理, アカウント削除, 自動化運用, 契約管理, UID属性
設問2:〔派遣社員のUID 管理〕 について、(1)〜(3)に答えよ。
(2)本文中の下線②の一定の時間とは何か月か。整数で答えよ。
模範解答
4
解説
解答の論理構成
-
派遣社員の契約満了後、UID がただちに削除されるわけではありません。第1案では「“無効”状態にある UID を、情報システム部が毎月初日に一括削除する運用」と定められています。
引用:【問題文】「第 1 案は、“無効”状態にある UID を、情報システム部が毎月初日に一括削除する運用である。」 -
UID が “無効” になるのは、利用されない期間が「許容無使用期間」である「100 日」を超えたときです。
引用:【問題文】「UID は,利用されない期間が,ある日数(以下,許容無使用期間という)を超えた場合に状態値を “無効” にする。許容無使用期間は 100 日とする。」 -
契約満了日から UID 削除までの最大遅延を考えます。
① 契約満了翌日から数えて「100 日」経過すると “無効” になります。
② その後、次の「毎月初日」に一括削除されます。
③ “無効” になった日が月末付近であれば、次の「毎月初日」までほぼ「1 か月」待つことになります。 -
よって、契約満了日から数えて
・“無効” になるまで:およそ 3 か月強(100 日 ≒ 3.3 か月)
・“無効” になってから削除されるまで:最大 1 か月
合計で約 4 か月となります。 -
以上より、下線②「一定の時間」は「4 か月」です。
誤りやすいポイント
- 「100 日」をそのまま 3 か月と短絡的に捉え、月初の一括削除運用を考慮しない。
- “無効” から削除までの期間を平均値で考え、最長ケースを見落とす。
- 「毎月初日」を“毎月末”と勘違いし、計算がずれる。
FAQ
Q: 100 日を超えた直後に削除する運用なら何か月になりますか?
A: 月初一括削除が無ければ「100 日」分のみなので約 3 か月です。本設問は月初一括削除運用を前提にしています。
A: 月初一括削除が無ければ「100 日」分のみなので約 3 か月です。本設問は月初一括削除運用を前提にしています。
Q: 月初一括削除運用がセキュリティ的に問題視された理由は?
A: 最大で約 4 か月も利用可能な UID が残存し、契約満了後の不正利用リスクが高まるからです。
A: 最大で約 4 か月も利用可能な UID が残存し、契約満了後の不正利用リスクが高まるからです。
Q: “無効” 状態ではログインできないのに、なぜ削除が必要なのですか?
A: UID が残っていると誤って再有効化される、権限情報が残存するなどのリスクがあるため、確実な削除が求められます。
A: UID が残っていると誤って再有効化される、権限情報が残存するなどのリスクがあるため、確実な削除が求められます。
関連キーワード: UIDライフサイクル, アカウント無効化, 一括削除運用, 無使用期間, セキュリティリスク
設問2:〔派遣社員のUID 管理〕 について、(1)〜(3)に答えよ。
(3)本文中の下線④の追加する運用とは何か。 具体的な運用を35字以内で述べよ。
模範解答
契約管理部が、契約解除を確認し、UID削除依頼を行う。
解説
解答の論理構成
- 契約解除を最も早く把握できるのは契約内容を統括する部署
- 問題文では「契約開始時には、契約管理部の承認を得ている。」とあり、契約の変更・解除情報も同部が把握するのが自然です。
- 満了前解除は自動削除ロジック(契約満了日=属性値)だけでは検知できない
- 「満了前解除ケースに対しても確実に UID が削除できるような運用を追加」と記載されています。契約管理部による人手でのトリガが必要です。
- したがって契約管理部が解除を確認した時点で削除依頼を発行する運用を定める
- 具体策として「契約管理部が、契約解除を確認し、UID削除依頼を行う。」が最短・確実であり、下線④への回答となります。
誤りやすいポイント
- 「各事業部」が解除を伝えると考えてしまう
→ 本文は「契約満了者の UID を確実に削除できる運用」を契約管理部視点で検討しており、事業部任せでは漏れが生じます。 - 自動削除機構だけで満了前解除も処理できると思い込む
→ 属性値には満了日しか入らないため、途中解除は検出不能です。 - 「情報システム部」が直接契約解除を監視すると勘違い
→ 契約情報は情報システム部にはありません。解除を知る部門が依頼する流れが合理的です。
FAQ
Q: 自動削除ロジックに“解除日”を追加する案では駄目なのですか?
A: 問題文では契約管理ソフトと UID 管理システムの連携が困難と明記されており、解除日を日次で連携する仕組みが実現しにくい状況です。手動での削除依頼が現実的です。
A: 問題文では契約管理ソフトと UID 管理システムの連携が困難と明記されており、解除日を日次で連携する仕組みが実現しにくい状況です。手動での削除依頼が現実的です。
Q: 依頼を受けた後の削除は誰が行いますか?
A: 従業員の場合と同じく「アカウント管理者」が実操作を行います。契約管理部はあくまでトリガ(削除依頼)を発行する役割です。
A: 従業員の場合と同じく「アカウント管理者」が実操作を行います。契約管理部はあくまでトリガ(削除依頼)を発行する役割です。
Q: 解除を確認するタイミングはいつが望ましいですか?
A: 契約解除が確定した直後がベストです。迅速に依頼し「パスワード不正取得リスク」を最小化します。
A: 契約解除が確定した直後がベストです。迅速に依頼し「パスワード不正取得リスク」を最小化します。
関連キーワード: UID管理, アカウント削除, 契約解除, 権限管理, ライフサイクル
設問3
本文中の下線③が起こるのはどのような場合か。 65字以内で述べよ。
模範解答
他人のUIDのパスワードを5回連続して間違え一時利用停止状態とし、アカウント管理者にパスワード初期化を依頼する場合
解説
解答の論理構成
- まず規程(5)には
“UIDのパスワードを連続して5回間違えた場合、状態値を“一時利用停止”にする。”
とあります。ここでロックが掛かる対象は“他者のUID”であっても構いません。 - 状態“一時利用停止”に対して(エ)は
“緊急に利用しなければならない場合は、…アカウント管理者に…初期化依頼する”
と規定しています。依頼者の真正性確認方法が明示されていないため、電話などで名乗るだけでも依頼が通る恐れがあります。 - 以上より、攻撃者は
“パスワードを5回連続して間違え”て対象UIDを“一時利用停止”とし、続けて“アカウント管理者に…初期化依頼”すれば、新しい仮パスワードを得ることができます。 - この手口が本文の下線“③何者かがなりすまして他者の UID のパスワードを不正取得できるリスク”になるため、設問の答えは
「他人のUIDのパスワードを5回連続して間違え一時利用停止状態とし、アカウント管理者にパスワード初期化を依頼する場合」
となります。
誤りやすいポイント
- 「利用者本人でなければ5回連続ミスできない」と思い込み、第三者が入力可能な事実を見落とす。
- “24時間後に自動的に解除”に意識が向きすぎ、初期化依頼経路のリスクを忘れる。
- 一時利用停止の解除=本人の再ログインと誤解し、アカウント管理者が仮パスワードを発行する点を読み落とす。
FAQ
Q: 一時利用停止を狙ってロックさせるだけで情報は得られないのでは?
A: 規程(エ)によってロック解除は「アカウント管理者に…コンタクトし、初期化依頼」すれば実施されます。本人確認が弱い場合、攻撃者が仮パスワードを受領できるため情報取得が成立します。
A: 規程(エ)によってロック解除は「アカウント管理者に…コンタクトし、初期化依頼」すれば実施されます。本人確認が弱い場合、攻撃者が仮パスワードを受領できるため情報取得が成立します。
Q: 5回連続ミスはオンライン監査で検出できないのか?
A: ログには残りますが、直ちにアラートが出る運用は記載されていません。監査だけでは未然防止にならない点がリスクです。
A: ログには残りますが、直ちにアラートが出る運用は記載されていません。監査だけでは未然防止にならない点がリスクです。
Q: パスワード強度要件(4)が厳しいので安全では?
A: 強度要件は推測攻撃の難易度を上げますが、今回のリスクは「正規手続を悪用して仮パスワードを取得」するものであり、文字種制限では対策できません。
A: 強度要件は推測攻撃の難易度を上げますが、今回のリスクは「正規手続を悪用して仮パスワードを取得」するものであり、文字種制限では対策できません。
関連キーワード: アカウントロック, パスワードリセット, なりすまし, 身元確認, ソーシャルエンジニアリング
設問4
本文中の下線⑤で考えられる手続を40字以内で具体的に述べよ。
模範解答
・パスワード初期化依頼の際には、上司からメールで依頼する。
・仮パスワードの連絡は、あらかじめ登録された電話番号だけに限定する。
解説
解答の論理構成
- リスクの特定
- 情報システム部長は、現行運用に「“③何者かがなりすまして他者の UID のパスワードを不正取得できるリスク(以下、パスワード不正取得リスクという)”」があると指摘しています。
- 対策方針
- プロジェクトチームは、「“⑤具体的な手続を定めることで解決”」と決定しました。したがって、回答は“手続”=具体的な運用フローを示す必要があります。
- 手続設計の要件
- なりすましを防ぐには「①依頼者が正しい利用者本人かどうかの確認」と「②仮パスワードの安全な伝達」が不可欠です。
- 解答例との合致
- 「パスワード初期化依頼の際には、上司からメールで依頼する。」
• 上司という第三者承認を必須にして本人確認を強化。 - 「仮パスワードの連絡は、あらかじめ登録された電話番号だけに限定する。」
• 事前登録済みの連絡先へ通知することで盗聴・転送リスクを軽減。 - 以上の二段階により、指摘された「パスワード不正取得リスク」を具体的手続で抑止できるため、模範解答が導かれます。
- 「パスワード初期化依頼の際には、上司からメールで依頼する。」
誤りやすいポイント
- 「多要素認証を導入する」など大がかりな技術対策のみを記述し、手続(運用)になっていない。
- 入力フォームに本人情報を再入力させるだけなど、第三者の承認や別経路通知がなく、なりすましを防げない。
- 「メールで送信」だけに言及し、メール盗聴・誤送信対策が欠けている。
FAQ
Q: 上司承認をメール以外の手段にしても良いですか?
A: はい。本人確認を担保できる社内ワークフローシステムなどでも問題ありませんが、設問では“具体的手続”を求めているため、媒体とフローを明示することが重要です。
A: はい。本人確認を担保できる社内ワークフローシステムなどでも問題ありませんが、設問では“具体的手続”を求めているため、媒体とフローを明示することが重要です。
Q: 仮パスワードを電話で伝える理由は何ですか?
A: 事前登録済み番号へ音声で通知すれば、メール転送や同報送信による漏えいリスクを低減できるためです。
A: 事前登録済み番号へ音声で通知すれば、メール転送や同報送信による漏えいリスクを低減できるためです。
Q: SMS 送信は許容されますか?
A: 事前登録済み番号かつ暗号化通信で送るなら有効ですが、音声通話の方がヒューマンチェック(本人の声確認)が働く点でより安全と評価されやすいです。
A: 事前登録済み番号かつ暗号化通信で送るなら有効ですが、音声通話の方がヒューマンチェック(本人の声確認)が働く点でより安全と評価されやすいです。
関連キーワード: 本人確認, パスワード初期化, UID管理, 多要素認証, 社会工程