FE SUBJECT B
基本情報技術者 科目Bの問題解説:A社は従業員300名の商社で、在宅勤務を進めるため、グループ…
問題
A社は従業員300名の商社で、在宅勤務を進めるため、グループウェアSaaSへ社外の自宅PCから直接ログインできるよう設定を変更した。ログインには利用者IDとパスワードだけを用いている。変更後、社内ネットワーク経由でしか接続できなかった頃に比べ、海外IPアドレスからの不正ログイン試行のアラートが急増し、一部の利用者IDでログイン成功の記録も確認された。情報セキュリティリーダーのBさんは、社外からの不正アクセスのリスクを下げる対策を情報システム部に依頼することにした。
Bさんが依頼する対策として、最も適切なものはどれか。
- ア 社外からのログイン時刻を平日の日中だけに制限する。
- イ 社外からのログインに、パスワードに加えてワンタイムパスワードなどの多要素認証を導入する。(正解)
- ウ 利用者が使用するWebブラウザを、特定の1種類に統一する。
- エ ログイン画面のURLを、第三者に推測されにくい文字列へ変更する。
- オ グループウェアSaaSの利用手順書を、全従業員へ紙で配布する。
正解と解説
正解:社外からのログインに、パスワードに加えてワンタイムパスワードなどの多要素認証を導入する。
状況の整理:守るべき対象は「社外から直接ログインできるSaaS」、脅威は「IDとパスワードだけを頼りにした不正ログイン」です。パスワードが漏えい・推測されると、社外のどこからでもログインできてしまう点が本質的な弱点です。
なぜイか:多要素認証は、パスワード(知識)に加えて本人だけが持つ要素(所持・生体)を要求するため、パスワードが漏れても単独ではログインできません。社外直接接続で増えた「資格情報悪用」のリスクを直接下げます。
誤答の理由:ア(時刻制限)は利便性を下げますが、許可された時間帯に正しいパスワードで入られれば防げません。ウ(ブラウザ統一)とオ(手順書配布)は不正ログインの成否に無関係です。エ(URL秘匿)は隠蔽に頼るだけで、パスワード総当たりや漏えいには効果がありません。
読み解きのコツ:「IDとパスワードだけ」という記述が弱点の核です。認証そのものを強くする選択肢を探しましょう。
他の選択肢はなぜ違う?
- ア時刻制限は正規利用者の利便性を下げるだけで、漏れたパスワードでの不正ログインは時間内に行われれば防げない。
- ウブラウザの統一はなりすましログインと無関係。
- エログインURLの秘匿は、IDとパスワードが漏れていれば突破される。根本対策にならない。
- オ手順書の紙配布は認証強度を上げない。
この問題について
公開問題・サンプル問題のセキュリティ事例形式(A社シナリオ+もっともらしい誤答)を参考にした独自問題です。本文・選択肢・解説は新規作成しています。
公式試験問題、公開問題、市販教材、外部問題サイトの問題文を転載・改題したものではありません。