FE SUBJECT B
基本情報技術者 科目Bの問題解説
問題
A社は従業員300名の商社で,在宅勤務を進めるため,グループウェアSaaSへ社外の自宅PCから直接ログインできるよう設定を変更した。ログインには利用者IDとパスワードだけを用いている。変更後,社内ネットワーク経由でしか接続できなかった頃に比べ,海外IPアドレスからの不正ログイン試行のアラートが急増し,一部の利用者IDでログイン成功の記録も確認された。情報セキュリティリーダーのBさんは,社外からの不正アクセスのリスクを下げる対策を情報システム部に依頼することにした。
Bさんが依頼する対策として,最も適切なものはどれか。
- ア 社外からのログイン時刻を平日の日中だけに制限する。
- イ 社外からのログインに,パスワードに加えてワンタイムパスワードなどの多要素認証を導入する。
- ウ 利用者が使用するWebブラウザを,特定の1種類に統一する。
- エ ログイン画面のURLを,第三者に推測されにくい文字列へ変更する。
- オ グループウェアSaaSの利用手順書を,全従業員へ紙で配布する。
正解と解説
正解:社外からのログインに,パスワードに加えてワンタイムパスワードなどの多要素認証を導入する。
正解:イ
状況の整理:守るべき対象は「社外から直接ログインできるSaaS」,脅威は「IDとパスワードだけを頼りにした不正ログイン」である。パスワードが漏えい・推測されると,社外のどこからでもログインできてしまう点が本質的な弱点。
なぜイか:多要素認証は,パスワード(知識)に加えて本人だけが持つ要素(所持・生体)を要求するため,パスワードが漏れても単独ではログインできない。社外直接接続で増えた「資格情報悪用」のリスクを直接下げる。
誤答の理由:ア(時刻制限)は利便性を下げるが,許可された時間帯に正しいパスワードで入られれば防げない。ウ(ブラウザ統一)とオ(手順書配布)は不正ログインの成否に無関係。エ(URL秘匿)は隠蔽に頼るだけで,パスワード総当たりや漏えいには効果がない。
読み解きのコツ:「IDとパスワードだけ」という記述が弱点の核。認証そのものを強くする選択肢を探す。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。