予想問題vol.6 問18
問18
社内のセキュリティポリシーで,利用者の事故に備えて秘密鍵を復元できること,及びセキュリティ管理者の不正防止のための仕組みを確立することが決められている。電子メールで公開鍵暗号方式を使用し,鍵の生成はセキュリティ部門が一括して行っている場合,秘密鍵の適切な保管方法はどれか。
- 1人のセキュリティ管理者が,秘密鍵を暗号化して保管する。
- 暗号化された秘密鍵の一つ一つを分割し,複数のセキュリティ管理者が分担して保管する。
- セキュリティ部門には,秘密鍵を一切残さず,利用者本人だけが保管する。
- 秘密鍵の一覧表を作成し,セキュリティ部門内に限り参照できるように保管する。
分類 :
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解 :
イ
解説 :
- 鍵を単独管理とすると、その管理者が悪意を持った場合やアカウントが乗っ取られた場合に、すべての秘密鍵が漏えいするリスクがあります。鍵を生成するのがセキュリティ部門、鍵の管理も1人のセキュリティ管理者では職務の分離が行われておらず、不正防止の要件を満たしません。
- 正しい。鍵を分割して保存する方法は「秘密分散法」と呼ばれ、認証局などの特に重要なセキュリティが要求される機関で採用されています。復号に一定数の管理者の合意を必要とすることで、復元可能性と不正防止を同時に実現することができます。
- 利用者本人だけが秘密鍵を保管していると、万が一紛失・故障・退職などが起きた場合に、復元ができず業務継続に支障をきたします。事故に備えて復元で切るという要件を満たさないため不適切です。
- 一覧表として秘密鍵を管理する方法は、漏えい時の影響範囲が広くなるため保存形式としてリスクが高いです。セキュリティ部門であれば誰でも参照できる運用は、最小権限の原則に反し、不正防止の観点から不適切です。