午後問題のまとめ 午後問16

問16 

パスワードの管理に関する次の記述を読んで,設問1〜4に答えよ。

 U社は,不動産の賃貸管理を行っている会社である。このたびU社では,社内で社員が使用している賃貸管理システムのセキュリティを強化することになった。その対策として,ログオンするときに,利用者IDのパスワードの入力を連続して間違えると,その利用者IDでのログオンを拒否(以下,ロックという)する機能と,ロックを解除する機能を追加することになった。ただし,ロックを解除する機能が安易に使用できるような運用方法では,賃貸管理システムの脆(ぜい)弱性につながるおそれがある。そこで情報管理課のYさんは,ロック機能と解除機能及びロック解除の手続からなるセキュリティ強化策(以下,強化策という)を検討することになった。
 Yさんは,強化策を次のようにまとめた。

〔ロック機能と解除機能〕
機能1:
ログオンするときに,利用者IDのパスワードの入力を連続して3回間違えると,その利用者IDがロックされる。
機能2:
ロックを解除する操作(以下,解除操作という)を行うと,英数字をランダムに並べたパスワードが自動的に生成され,設定される。設定されたパスワードは次のログオンのとき一度だけ使用でき,パスワードの変更が要求される。
機能3:
ロックされていない利用者IDに対して解除操作を行うと,機能2の処理は行われず,エラーメッセージが表示される。
機能4:
解除操作は,特別な利用者ID(以下,解除IDという)だけで行える。解除IDにもパスワードが設定されている。
機能5:
解除操作を行った日付,ロック解除された利用者ID及び解除操作を行った解除IDの履歴が賃貸管理システムに残される。
〔ロック解除の手続〕
手続1:
解除IDは,一つだけ用意しておき,情報管理課の少数の担当者だけが使用する。異動などで担当者の変更があったときには,解除IDのパスワードを変更する。
手続2:
利用者IDがロックされた利用者は,ロック解除依頼書(以下,依頼書という)を作成して,上司の承認を受けた後,情報管理課に送付する。
手続3:
情報管理課では,依頼書を受け取ると,記入内容と承認印が正しいことを確認してから,情報管理課の責任者の承認を受ける。
手続4:
情報管理課の担当者1名が,解除IDを使って解除操作を行い,依頼書に自分の名前と解除操作の日付を記入する。
手続5:
解除操作を行った担当者は,利用者IDの利用者本人に安全な方法で新しいパスワードを伝える。

設問1

ロック解除の手続をふまないと,賃貸管理システムの脆(ぜい)弱性につながるおそれがある理由を,解答群の中から選べ。
解答群
  • 情報管理課以外の者が,ロック解除を依頼できるから
  • だれもが,他人の利用者IDのパスワードを任意のパスワードに変更できるから
  • パスワードを正しく入力しても,利用者IDがロックされるから
  • 間違ったパスワードを連続して何回も入力することで,他人の利用者IDのパスワードを調べることができるから
  • 利用者本人以外の者がなりすまして,ロック解除を依頼できるから

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。

設問2

Yさんが考えた強化策を上司に報告したところ,必要なセキュリティの要件を満たしているかどうかを分析するように指示された。そこで,Yさんは,上司から提示された必要なセキュリティの要件と,強化策を対応させた次の表を作成した。表中の に入れる適切な強化策の番号を,解答群の中から選べ。
pm16_1.gif/image-size:548×192
a,b,c,d,e に関する解答群
  • 機能2
  • 機能3
  • 機能4
  • 機能5
  • 手続1
  • 手続2
  • 手続3
  • 手続4
  • なし

解答選択欄

  • a:
  • b:
  • c:
  • d:
  • e:

解答

  • a=
  • b=
  • c=
  • d=
  • e=

解説

この設問の解説はまだありません。

設問3

Yさんが考えた強化策では,依頼書に基づいていない解除操作を防ぐ機能が不十分である。依頼書に基づいていない解除操作が行われた場合に,情報管理課が発見できるようにする手続を,解答群の中から選べ。
解答群
  • 依頼書を提出した本人に立ち会ってもらい,解除操作を行う。
  • 解除操作の後で,情報管理課の責任者が依頼書を確認して,承認印を押す。
  • 解除操作は,情報管理課の別の担当者が立ち会い,2名で行う。
  • 情報管理課の責任者が,解除操作の履歴と依頼書を定期的に照合する。
  • 担当者が解除操作のたびに操作履歴を記入する記録簿を作り,情報管理課の責任者が,記録簿と解除操作の履歴を定期的に照合する。

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。

設問4

Yさんの考えた強化策では,解除IDは一つしか登録しないが,上司からは,解除IDを情報管理課の担当者の人数分登録して,担当者の変更に合わせて登録と削除を行うように指示された。指示のようにすべき理由を,解答群の中から選べ。
解答群
  • 解除IDが一つでは,だれが解除操作を行ったのか履歴から調べられないから
  • 解除IDを複数登録しておかなければ,解除操作が行えないから
  • 担当者以外の情報管理課の者が,解除IDを使用できるから
  • ロックされた利用者が,解除IDを使用できるから

解答選択欄

  •  

解答

  •  

解説

この設問の解説はまだありません。
© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop