不正ログイン対策におけるアクセス許可IPアドレス登録と初期パスワード見直し【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問6】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問6

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問2(一部、加工あり)】

【設計情報管理サーバへの不正ログイン対策の検討】
 (う)について、Fさんは、設計情報管理サーバへの不正なログインの経緯及び設計情報管理サーバの利用状況を踏まえ、⑥設計情報管理サーバへのアクセスを制限する設定変更案及び⑦パスワードに関する運用方法の見直し案を作成し、Jさんに提案した。Jさんは、Fさんの提案どおりに設定の変更及び運用方法の見直しを実施することにした。
 さらに、FさんとG氏は、ID-Kのように利用者IDを共用する限り、パスワードの管理は不十分になると考えた。そこで、利用者IDの共用は全て禁止し、フォルダへのアクセス権限を利用者IDごとに設定する案を作成した。
 Fさんは、検討結果をE部長に説明し、了承を得てJさんに実施を依頼した。

⑥について、設定変更の内容を50字以内で具体的に述べよ。:アクセスを許可するIPアドレスとして、設計部LAN及び製造部LANだけを登録する。

 上記にある「設計情報管理サーバへの不正アクセスの経緯」と「設計情報管理サーバの利用状況」について、アクセス制限に関連する箇所を問題文を見て整理します。
 まず、「設計情報管理サーバへの不正アクセスの経緯」については、以下の通りです。

  • 利用者ID:ID-Kによる不審なアクセスが発生し、それは共同出品担当メンバではなく、営業係KさんのDPCであった。
  • その時のKさんのDPCのIPアドレスは、DHCPサーバにより割り当てられた192.168.64.3であった。

 次に、「設計情報管理サーバの利用状況」については、以下の通りです。

  • 利用者IDとパスワードで利用者認証を行う。
  • フォルダごとにアクセス権限を設定できる。現在は、利用者IDごとに割り当てられたフォルダ配下のファイルにアクセスできる。
  • 接続元のIPアドレスによってアクセスを制限する。アクセスを許可するIPアドレスには、A社で利用するプライベートIPアドレスを登録する。
  • 設計情報管理サーバの利用者は、設計部員及び製造部員である。

 これらの内容からもう少し掘り下げます。
 設計情報管理サーバの利用者が設計部員及び製造部員のみなのであれば、アクセスを許可するIPアドレスがA社全体のアドレスである必要はなさそうです。
 表3(A社のネットワーク一覧)に各LANごとのネットワークアドレスが記載されており、KさんのIPアドレスは営業拠点である拠点LANのものです。
 設計情報管理サーバへのアクセスを、設計部LANと製造部LANのIPアドレスに限定することが不正ログイン対策として有効になります。

⑦について、見直し後の運用方法を40字以内で具体的に述べよ。:初期パスワードは、利用者ごとに異なるランダムな文字列にする。

 同様に、「設計情報管理サーバへの不正アクセスの経緯」と「設計情報管理サーバの利用状況」について、パスワードに関連する箇所を問題文を見て整理します。
 まず、「設計情報管理サーバへの不正アクセスの経緯」については、以下の通りです。

  • 表6(設計情報管理サーバのアクセスログ)より、不正アクセスは3回のログイン失敗後にログイン成功している
  • 図3(追加のヒアリング及び調査の結果)より、ID-Kのパスワードは、初期パスワードまま変更していない
  • 図3より、マルウェアYは、C&Cサーバから取得した利用者IDとパスワードのリストを用いてログインを試みる

 次に、「設計情報管理サーバの利用状況」については、以下の通りです。

  • 表5(内部システムLAN上のサーバの概要)より、パスワードは10字以上で英数字及び記号を使用でき、設計部のサーバ管理者が初期パスワードを登録する。
  • 利用者IDはメールアドレスで、初期パスワードはメールアドレスと同じ文字列を登録し、パスワードは利用者で変更できる

 これらの情報から、マルウェアYが利用した利用者IDとパスワードのリストには、パスワードが合致するものはなかったかもしれませんが、利用者IDと同じメールアドレスをパスワードに用いる何回かの試行でログイン成功したことが伺えます。
 利用者にパスワードの変更を強制させる運用もあるかもしれませんが、システム的に初期パスワードを変える方が有効でしょう。