サイトアイコン やさしいネットワークとセキュリティ

不正ログイン対策におけるアクセス許可IPアドレス登録と初期パスワード見直し【情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問6】

情報処理安全確保支援士試験 平成31年度 春期 午後2 問2 設問6

【出典:情報処理安全確保支援士試験 平成31年度 春期 午後2問2(一部、加工あり)】

【設計情報管理サーバへの不正ログイン対策の検討】
 (う)について、Fさんは、設計情報管理サーバへの不正なログインの経緯及び設計情報管理サーバの利用状況を踏まえ、⑥設計情報管理サーバへのアクセスを制限する設定変更案及び⑦パスワードに関する運用方法の見直し案を作成し、Jさんに提案した。Jさんは、Fさんの提案どおりに設定の変更及び運用方法の見直しを実施することにした。
 さらに、FさんとG氏は、ID-Kのように利用者IDを共用する限り、パスワードの管理は不十分になると考えた。そこで、利用者IDの共用は全て禁止し、フォルダへのアクセス権限を利用者IDごとに設定する案を作成した。
 Fさんは、検討結果をE部長に説明し、了承を得てJさんに実施を依頼した。

⑥について、設定変更の内容を50字以内で具体的に述べよ。:アクセスを許可するIPアドレスとして、設計部LAN及び製造部LANだけを登録する。

 上記にある「設計情報管理サーバへの不正アクセスの経緯」と「設計情報管理サーバの利用状況」について、アクセス制限に関連する箇所を問題文を見て整理します。
 まず、「設計情報管理サーバへの不正アクセスの経緯」については、以下の通りです。

 次に、「設計情報管理サーバの利用状況」については、以下の通りです。

 これらの内容からもう少し掘り下げます。
 設計情報管理サーバの利用者が設計部員及び製造部員のみなのであれば、アクセスを許可するIPアドレスがA社全体のアドレスである必要はなさそうです。
 表3(A社のネットワーク一覧)に各LANごとのネットワークアドレスが記載されており、KさんのIPアドレスは営業拠点である拠点LANのものです。
 設計情報管理サーバへのアクセスを、設計部LANと製造部LANのIPアドレスに限定することが不正ログイン対策として有効になります。

⑦について、見直し後の運用方法を40字以内で具体的に述べよ。:初期パスワードは、利用者ごとに異なるランダムな文字列にする。

 同様に、「設計情報管理サーバへの不正アクセスの経緯」と「設計情報管理サーバの利用状況」について、パスワードに関連する箇所を問題文を見て整理します。
 まず、「設計情報管理サーバへの不正アクセスの経緯」については、以下の通りです。

 次に、「設計情報管理サーバの利用状況」については、以下の通りです。

 これらの情報から、マルウェアYが利用した利用者IDとパスワードのリストには、パスワードが合致するものはなかったかもしれませんが、利用者IDと同じメールアドレスをパスワードに用いる何回かの試行でログイン成功したことが伺えます。
 利用者にパスワードの変更を強制させる運用もあるかもしれませんが、システム的に初期パスワードを変える方が有効でしょう。

モバイルバージョンを終了