情報セキュリティマネジメント試験情報＆徹底解説

パスワードの管理に関する次の記述を読んで，設問1〜4に答えよ。

　U社は，不動産の賃貸管理を行っている会社である。このたびU社では，社内で社員が使用している賃貸管理システムのセキュリティを強化することになった。その対策として，ログオンするときに，利用者IDのパスワードの入力を連続して間違えると，その利用者IDでのログオンを拒否(以下，ロックという)する機能と，ロックを解除する機能を追加することになった。ただし，ロックを解除する機能が安易に使用できるような運用方法では，賃貸管理システムの脆(ぜい)弱性につながるおそれがある。そこで情報管理課のYさんは，ロック機能と解除機能及びロック解除の手続からなるセキュリティ強化策(以下，強化策という)を検討することになった。
　Yさんは，強化策を次のようにまとめた。

〔ロック機能と解除機能〕

機能1:

ログオンするときに，利用者IDのパスワードの入力を連続して3回間違えると，その利用者IDがロックされる。

機能2:

ロックを解除する操作(以下，解除操作という)を行うと，英数字をランダムに並べたパスワードが自動的に生成され，設定される。設定されたパスワードは次のログオンのとき一度だけ使用でき，パスワードの変更が要求される。

機能3:

ロックされていない利用者IDに対して解除操作を行うと，機能2の処理は行われず，エラーメッセージが表示される。

機能4:

解除操作は，特別な利用者ID(以下，解除IDという)だけで行える。解除IDにもパスワードが設定されている。

機能5:

解除操作を行った日付，ロック解除された利用者ID及び解除操作を行った解除IDの履歴が賃貸管理システムに残される。

〔ロック解除の手続〕

手続1:

解除IDは，一つだけ用意しておき，情報管理課の少数の担当者だけが使用する。異動などで担当者の変更があったときには，解除IDのパスワードを変更する。

手続2:

利用者IDがロックされた利用者は，ロック解除依頼書(以下，依頼書という)を作成して，上司の承認を受けた後，情報管理課に送付する。

手続3:

情報管理課では，依頼書を受け取ると，記入内容と承認印が正しいことを確認してから，情報管理課の責任者の承認を受ける。

手続4:

情報管理課の担当者1名が，解除IDを使って解除操作を行い，依頼書に自分の名前と解除操作の日付を記入する。

手続5:

解除操作を行った担当者は，利用者IDの利用者本人に安全な方法で新しいパスワードを伝える。

ロック解除の手続をふまないと，賃貸管理システムの脆(ぜい)弱性につながるおそれがある理由を，解答群の中から選べ。

Yさんが考えた強化策を上司に報告したところ，必要なセキュリティの要件を満たしているかどうかを分析するように指示された。そこで，Yさんは，上司から提示された必要なセキュリティの要件と，強化策を対応させた次の表を作成した。表中の　に入れる適切な強化策の番号を，解答群の中から選べ。

Yさんが考えた強化策では，依頼書に基づいていない解除操作を防ぐ機能が不十分である。依頼書に基づいていない解除操作が行われた場合に，情報管理課が発見できるようにする手続を，解答群の中から選べ。

Yさんの考えた強化策では，解除IDは一つしか登録しないが，上司からは，解除IDを情報管理課の担当者の人数分登録して，担当者の変更に合わせて登録と削除を行うように指示された。指示のようにすべき理由を，解答群の中から選べ。