情報セキュリティマネジメント平成31年春期 午前問22

午前問22

利用者PCの内蔵ストレージが暗号化されていないとき,攻撃者が利用者PCから内蔵ストレージを抜き取り,攻撃者が用意したPCに接続して内蔵ストレージ内の情報を盗む攻撃の対策に該当するものはどれか。
  • 内蔵ストレージにインストールしたOSの利用者アカウントに対して,ログインパスワードを設定する。
  • 内蔵ストレージに保存したファイルの読取り権限を,ファイルの所有者だけに付与する。
  • 利用者PC上でHDDパスワードを設定する。
  • 利用者PCにBIOSパスワードを設定する。
  • [この問題の出題歴]
  • 情報セキュマネ H28春期 問20

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

PCなどの情報機器が盗難されると、物品的な被害とともに重要情報の漏えい被害にもつながります。たとえOSレベルでログインパスワードが設定されていても、ハードディスク等を抜き出して別のPCに接続すれば、OSに設定されたパスワードを回避することが可能なので、情報へのアクセスを防ぐことはできません。
紛失・盗難時の情報漏えいを防ぐには「ハードディスク全体を暗号化する」「アクセスに対してパスワードを要求するハードディスクパスワードを設定する」などハードディスク単体でセキュリティを維持できるような対策が求められます。
  • OSレベルでのセキュリティ対策は、内蔵ストレージを抜き出して情報を盗む方法に対して効果がありません。
  • OSレベルでのセキュリティ対策は、内蔵ストレージを抜き出して情報を盗む方法に対して効果がありません。
  • 正しい。内蔵ストレージへのアクセスに対してパスワード(HDDパスワード)を設定することで、内蔵ストレージ内の情報にアクセスされるリスクを低減できます。
  • BIOSパスワードは、PCの電源投入時にOSよりも先に起動するBIOSプログラムにパスワードを設定するものです。BIOSパスワードは、電池を外したりCMOSのクリアによって設定が失われてしまいますし、ハードディスク等を抜き出されたときにはパスワードを回避されてしまいます。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop