FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:B社は営業担当者が外出先のスマートフォンから、顧客管理Saa…
問題
B社は営業担当者が外出先のスマートフォンから、顧客管理SaaSへ直接接続して商談記録を入力できるようにした。各担当者は同じ初期パスワードを管理部門から渡され、変更は任意とされていた。運用開始後、退職した元担当者のアカウントが削除されないまま残っており、そのIDで外部から接続が試みられた形跡が見つかった。また、複数の担当者が初期パスワードのまま利用していることも判明した。情報セキュリティリーダーのCさんは、社外接続に伴う不正アクセスのリスク低減を検討している。
この状況に対する対策の組合せとして、最も適切なものはどれか。
- ア SaaSの画面配色を担当者ごとに変えて、なりすましを見抜けるようにする。
- イ 商談記録の入力件数の上限を担当者ごとに設定する。
- ウ 退職・異動時にアカウントを速やかに無効化し、社外接続には多要素認証を導入する。(正解)
- エ スマートフォンの機種を全社で1種類に統一する。
- オ SaaSへの接続を1日1回までに制限する。
正解と解説
正解:退職・異動時にアカウントを速やかに無効化し、社外接続には多要素認証を導入する。
状況の整理:問題点は二つあります。退職者アカウントが残存していること(不要アカウントの放置)と、初期パスワードのまま使われていること(弱い・共有された資格情報)です。社外から直接接続できる以上、この二つは不正ログインに直結します。
なぜウか:退職・異動に合わせたアカウント無効化は不要な侵入口をふさぎ、多要素認証はパスワードが弱くても単独ログインを防ぎます。指摘された二つの弱点の両方に効きます。
誤答の理由:ア(画面配色)・エ(機種統一)・オ(接続回数制限)は、いずれも不正ログインの成否に関係しない見当違いの対策です。イ(入力件数制限)は誤入力防止にはなりますが、アカウント残存や弱いパスワードの問題を解決しません。
読み解きのコツ:事例に弱点が複数あるときは、提示された弱点を「すべて」カバーする選択肢が正解になりやすいです。
他の選択肢はなぜ違う?
- ア画面配色ではなりすましは見抜けない。
- イ入力件数の上限は不正ログインと無関係。
- エ機種の統一は退職者アカウントの放置を解決しない。
- オ接続回数の制限は正規業務を妨げるだけ。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。