情報セキュリティマネジメント試験 令和6年度 公開問題(過去問) 問13 について解説します。
問題
問13 A社は、従業員100名の食品製造・販売会社である。A社では、営業部が取り扱う顧客情報をX社のSaaSであるX顧客管理サービス(以下、Xサービスという)を利用して管理している。また、A社は、Xサービスの不正アクセス対策として、Xサービスへのログインは、A社の社内ネットワークからだけ許可しており、A社の社外からはできないように設定している。
Xサービスに備わっている不正ログインを防止するための機能と、A社がXサービスに適用している現在の設定を表1に示す。
A社では、昨今の社会情勢を鑑みて、営業部員を対象にテレワーク制度の導入を検討することにした。社外からもXサービスを利用できるようにしたい。また、社外から不正にアクセスされるリスクを低減するために、利用者認証を強化したい。そこで、機能1〜5の設定について、必要な変更を二つ実施することにした。
設問 A社が実施することにした設定変更の組合せはどれか。解答群のうち、最も適切なものを選べ。
解説・解答
表1の各機能の本来の役割は次の通りです。
機能1:指定したIPアドレスからアクセスした場合だけ、ログインできるよう制御する。
固定の送信元グローバルIPアドレスからのアクセスだけに限定してネットワークの入口を絞ります。社外の不特定IPアドレスはブロックするのが基本です。
機能2:利用者IDとパスワードによって認証する。
IDとパスワードでの認証はログインの基本で、これを無効にするのは通常あり得ないです。
機能3:英字、数字、記号の3種類全てを含む8文字以上のパスワードを強制する。
パスワードポリシーを強力にしてパスワードを破られにくくします。弱体化は通常あり得ないです。
機能4:ワンタイムパスワードによって認証する。
使い捨てコードで多要素認証(MFA)にでき、パスワード漏えい時のなりすましを防ぎます。
機能5:ログイン画面にCAPTCHAを表示し、回答させる。
ボット対策で、人かボットかを見分ける仕組みです。本人確認を強化するものではありません。
問題文にある要件は下記になります。
要件A:社外からもXサービスを利用できるようにしたい。
要件B:社外から不正にアクセスされるリスクを低減するために、利用者認証を強化したい。
要件Aについては、社外のテレワーク環境ではユーザの送信元グローバルIPアドレスが一定でないため、機能1が有効のままだと社外のユーザを弾いてしまいます。社外の回線(自宅・モバイル等)のIPアドレスからもログインできるようにする必要があります。機能1を無効にすれば、社外の任意のIPアドレスからアクセスしてもログインできるようになります。そのため、要件Aを満たすためには機能1を有効から無効に変更する必要があります。
要件Bについては、利用者IDとパスワードによる認証に加えて、機能4を有効にしてワンタイムパスワードを要求して多要素認証にすることで、パスワード漏えい時の不正ログインを大幅に抑止することができ、利用者認証を強化することができます。そのため、要件Bを満たすためには機能4を無効から有効に変更する必要があります。
上記より、A社が実施することにした設定変更の組合せは、「機能1を有効から無効に変更」と「機能4を無効から有効に変更」になります。
以上により、この問題の解答は「ア」になります。
