情報システムのセキュリティ規定の作成 《演習問題》
ADH12秋問72
システムを運用する際には、ユーザを管理する必要がある。ユーザ ID、パスワードの管理に関する記述のうち、適切なものはどれか。 ア 希望者にはユーザIDを無条件で与え、パスワードを登録しても らう。 イ 担当者が退職した場合でも、ユーザIDはそのまま残しておく。 ウ 定期的にパスワードを変更しなければ、ログインできない仕掛 けを作る。 エ パスワードには誕生日、電話番号など、その人固有のデータを 使うよう指導する。
解 説
難易度 ★
解答
解答
ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
けを作る。
組織の情報資産の漏えいや改ざんを防止するために、アクセス制
御ポリシを策定し、重要度に応じたアクセス制御をしなければなり
ません。
アクセス制御は、利用者の与えられた役職や職務領域ごとに規定
し、人的(管理的)、物理環境的、技術的(論理的)観点からバラ
ンスを取りながら運用していきます。
アクセス制御に関しては、「コンピュータ不正アクセス対策基準」
を参考にしましょう。
http://www.ipa.go.jp/security/ciadr/guide-crack.html
システム管理者側(アプリケーションでの制御を含む)、ユーザ
側の観点で整理しておきましょう。
> ア 希望者にはユーザIDを無条件で与え、パスワードを登録しても
> らう。
> らう。
設定する者と付与する者の権限は分離して管理したほうがよいと
されています。(職掌分離)
また、アクセス権限を設定する際に、仮パスワードを設定する場
合は、即座に変更するように運用されなければなりません。
> イ 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
アクセス権限のライフサイクルは非常に重要です。アクセス権限
を付与した時点から削除(抹消)するまで、しっかりと管理される
必要があります。
担当者が退職した場合、ユーザIDを残したままにすると、本人の
悪意による不正侵入やなりすましによる不正侵入を許すことになっ
てしまいます。
> ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
> けを作る。
> けを作る。
正しい記述です。
運用に人が管理しなければならない処理が介在すると、人が悪意
をもって違反できる可能性がでてきてしまうので、システムに組み
込まれた形で管理を行うことが推奨されます。
運用に人が管理しなければならない処理が介在すると、人が悪意
をもって違反できる可能性がでてきてしまうので、システムに組み
込まれた形で管理を行うことが推奨されます。
> エ パスワードには誕生日、電話番号など、その人固有のデータを
> 使うよう指導する。
> 使うよう指導する。
個人の属性から推測されるパスワードを使用すると、簡単にパス
ワードを見破られてしまい、なりすましによる不正侵入を許すこと
になってしまいます。
ワードを見破られてしまい、なりすましによる不正侵入を許すこと
になってしまいます。
sponsored link
このページ
のTOPへ注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
