やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

情報処理安全確保支援士【H31春午後Ⅱ問2設問6】No.2

この問題のテーマは「情報セキュリティ対策の強化」

自社及び取引先を含めた情報セキュリティ対策の設計能力

設問6(2)

f:id:aolaniengineer:20191017111914p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問6に関連する問題文

f:id:aolaniengineer:20191017180334p:plain

情報処理安全確保支援士試験 平成31年度 春期 午後Ⅱ問2設問6(2)

 該当箇所は以下になります。

(う)設計情報管理サーバへの不正ログイン対策を検討する。
(う)について、Fさんは、設計情報管理サーバへの不正なログインの経緯及び設計情報管理サーバの利用状況を踏まえ、⑥設計情報管理サーバへのアクセスを制限する設定変更案及び⑦パスワードに関する運用方法の見直し案を作成し、Jさんに提案した。

 上記にある「設計情報管理サーバへの不正アクセスの経緯」と「設計情報管理サーバの利用状況」について、パスワードに関連する箇所を問題文を見て整理します。

 まず、「設計情報管理サーバへの不正アクセスの経緯」については、以下の通りです。

表6(設計情報管理サーバのアクセスログ)より、不正アクセスは3回のログイン失敗後にログイン成功している
図3(追加のヒアリング及び調査の結果)より、ID-Kのパスワードは、初期パスワードまま変更していない
図3(追加のヒアリング及び調査の結果)より、マルウェアYは、C&Cサーバから取得した利用者IDとパスワードのリストを用いてログインを試みる

 次に、「設計情報管理サーバの利用状況」については、以下の通りです。

表5(内部システムLAN上のサーバの概要)より、パスワードは10字以上で英数字及び記号を使用でき、設計部のサーバ管理者が初期パスワードを登録する。
利用者IDはメールアドレスで、初期パスワードはメールアドレスと同じ文字列を登録し、パスワードは利用者で変更できる

 これらの情報から、マルウェアYが利用したパスワードのリストには利用者IDと同じメールアドレスがあり、これによって何回かの試行でログイン成功したことになります。

 利用者にパスワードの変更を強制させる運用もあるかもしれませんが、システム的に初期パスワードを変える方が有効です。

 したがって、正解は以下の通りです。

初期パスワードは、利用者ごとに異なるランダムな文字列にする。