FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説
問題
B社は営業担当者が外出先のスマートフォンから,顧客管理SaaSへ直接接続して商談記録を入力できるようにした。各担当者は同じ初期パスワードを管理部門から渡され,変更は任意とされていた。運用開始後,退職した元担当者のアカウントが削除されないまま残っており,そのIDで外部から接続が試みられた形跡が見つかった。また,複数の担当者が初期パスワードのまま利用していることも判明した。情報セキュリティリーダーのCさんは,社外接続に伴う不正アクセスのリスク低減を検討している。
この状況に対する対策の組合せとして,最も適切なものはどれか。
- ア SaaSの画面配色を担当者ごとに変えて,なりすましを見抜けるようにする。
- イ 商談記録の入力件数の上限を担当者ごとに設定する。
- ウ 退職・異動時にアカウントを速やかに無効化し,社外接続には多要素認証を導入する。
- エ スマートフォンの機種を全社で1種類に統一する。
- オ SaaSへの接続を1日1回までに制限する。
正解と解説
正解:退職・異動時にアカウントを速やかに無効化し,社外接続には多要素認証を導入する。
正解:ウ
状況の整理:問題点は二つ。退職者アカウントが残存していること(不要アカウントの放置)と,初期パスワードのまま使われていること(弱い・共有された資格情報)である。社外から直接接続できる以上,この二つは不正ログインに直結する。
なぜウか:退職・異動に合わせたアカウント無効化は不要な侵入口をふさぎ,多要素認証はパスワードが弱くても単独ログインを防ぐ。指摘された二つの弱点の両方に効く。
誤答の理由:ア(画面配色)・エ(機種統一)・オ(接続回数制限)は,いずれも不正ログインの成否に関係しない見当違いの対策。イ(入力件数制限)は誤入力防止にはなるが,アカウント残存や弱いパスワードの問題を解決しない。
読み解きのコツ:事例に弱点が複数あるときは,提示された弱点を「すべて」カバーする選択肢が正解になりやすい。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。