今回のテーマは、「不正アクセス対策」である。
令和6年度 情報セキュリティマネジメント試験 公開問題 科目 A・B
問13
A 社は,従業員 100 名の食品製造・販売会社である。A 社では,営業部が取り扱う顧客情報を X 社の SaaS である X 顧客管理サービス(以下,X サービスという)を利用して管理している。また,A 社は,X サービスの不正アクセス対策として,X サービスへのログインは,A 社の社内ネットワークからだけ許可しており,A 社の社外からはできないように設定している。
X サービスに備わっている不正ログインを防止するための機能と,A 社が X サービスに適用している現在の設定を表 1 に示す。
A 社では,昨今の社会情勢を鑑みて,営業部員を対象にテレワーク制度の導入を検討することにした。社外からも X サービスを利用できるようにしたい。また,社外から不正アクセスされるリスクを低減するために,利用者認証を強化したい。そこで,機能 1~5 の設定について,必要な変更を二つ実施することにした。
設問 A 社が実施することにした設定変更の組合せはどれか。解答群のうち,最も適切なものを選べ。
答えを確認する
正解は ア です。
それでは、問題を検討しよう。
本問は、A社がテレワーク制度を導入し、 営業部員が社外からもXサービスを利用できるようにするために、どの不正ログイン防止機能 の設定を変更するべきかを考える問題である。
まず、A社では現在、Xサービスへのアクセス 社内ネットワークからのみに制限しているが、 テレワーク制度の導入に伴い、 社外からもXサー ビスにアクセスできるようにしたいと考えている。 そのため、機能1のIPアドレスによるアクセス制限を「無効」にし、社外のどこからでもアクセスできるようにする必要がある。
一方、社外からのアクセスを許可することで、不正アクセスのリスクが増大するため、利用者認証を強化したいとも考えている。 そのため、 機能4のワンタイムパスワードによる認証を「有効」にして、利用者認証を強化する必要がある。 ワンタイムパスワードによる認証とは、 ログインのたびに使い捨ての一度しか使えないパスワード(ワンタイムパスワード)を利用する認証方法である。 たとえ通常のパスワードが漏えいしてしまったとしても、ワンタイムパスワード は毎回異なるため、不正アクセスのリスクを軽減できる。
(解法のポイント)
長文問題は、情報量に圧倒されないこと。落ち着いて取り組めば正解できるだろう。
コメント