初級シスアド平成12年秋期問72
システムを運用する際には、ユーザを管理する必要がある。ユーザ
ID、パスワードの管理に関する記述のうち、適切なものはどれか。
ア 希望者にはユーザIDを無条件で与え、パスワードを登録しても
らう。
イ 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
けを作る。
エ パスワードには誕生日、電話番号など、その人固有のデータを
使うように指導する。
解答
ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
けを作る。
組織の情報資産の漏えいや改ざんを防止するために、アクセス制御
ポリシを策定し、重要度に応じたアクセス制御をしなければなりま
せん。
アクセス制御は、利用者の与えられた役職や職務領域ごとに規定し、
人的(管理的)、技術的(論理的)、物理及び環境的観点からバラ
ンスを取りながら運用していきます。
アクセス制御に関しては、「コンピュータ不正アクセス対策基準」
を参考にしましょう。
⇒ http://www.ipa.go.jp/security/ciadr/guide-crack.html
システム管理者側(アプリケーションでの制御を含む)、ユーザ側
の観点で整理しておきましょう。
> ア 希望者にはユーザIDを無条件で与え、パスワードを登録しても
> らう。
不適切な記述です。
設定する者と付与する者の権限は分離して管理したほうがよいとさ
れています。(職掌分離)
また、アクセス権限を設定する際に、仮パスワードを設定する場合
は、即座に変更するように運用されなければなりません。
> イ 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
不適切な記述です。
アクセス権限のライフサイクルは非常に重要です。アクセス権限を
付与した時点から削除(抹消)するまで、しっかりと管理される必
要があります。
担当者が退職した場合、ユーザIDを残したままにすると、本人の悪
意による不正侵入やなりすましによる不正侵入を許すことになって
しまいます。
> ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
> けを作る。
正しい記述です。
運用に人が管理しなければならない処理が介在すると、人が悪意を
もって違反できる可能性がでてきてしまうので、システムに組み込
まれた形で管理を行うことが推奨されます。
> エ パスワードには誕生日、電話番号など、その人固有のデータを
> 使うよう指導する。
不適切な記述です。
個人の属性から推測されるパスワードを使用すると、簡単にパスワ
ードを見破られてしまい、なりすましによる不正侵入を許すことに
なってしまいます。
ID、パスワードの管理に関する記述のうち、適切なものはどれか。
ア 希望者にはユーザIDを無条件で与え、パスワードを登録しても
らう。
イ 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
けを作る。
エ パスワードには誕生日、電話番号など、その人固有のデータを
使うように指導する。
解説
難易度 ★解答
ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
けを作る。
組織の情報資産の漏えいや改ざんを防止するために、アクセス制御
ポリシを策定し、重要度に応じたアクセス制御をしなければなりま
せん。
アクセス制御は、利用者の与えられた役職や職務領域ごとに規定し、
人的(管理的)、技術的(論理的)、物理及び環境的観点からバラ
ンスを取りながら運用していきます。
アクセス制御に関しては、「コンピュータ不正アクセス対策基準」
を参考にしましょう。
⇒ http://www.ipa.go.jp/security/ciadr/guide-crack.html
システム管理者側(アプリケーションでの制御を含む)、ユーザ側
の観点で整理しておきましょう。
> ア 希望者にはユーザIDを無条件で与え、パスワードを登録しても
> らう。
不適切な記述です。
設定する者と付与する者の権限は分離して管理したほうがよいとさ
れています。(職掌分離)
また、アクセス権限を設定する際に、仮パスワードを設定する場合
は、即座に変更するように運用されなければなりません。
> イ 担当者が退職した場合でも、ユーザIDはそのまま残しておく。
不適切な記述です。
アクセス権限のライフサイクルは非常に重要です。アクセス権限を
付与した時点から削除(抹消)するまで、しっかりと管理される必
要があります。
担当者が退職した場合、ユーザIDを残したままにすると、本人の悪
意による不正侵入やなりすましによる不正侵入を許すことになって
しまいます。
> ウ 定期的にパスワードを変更しなければ、ログインできない仕掛
> けを作る。
正しい記述です。
運用に人が管理しなければならない処理が介在すると、人が悪意を
もって違反できる可能性がでてきてしまうので、システムに組み込
まれた形で管理を行うことが推奨されます。
> エ パスワードには誕生日、電話番号など、その人固有のデータを
> 使うよう指導する。
不適切な記述です。
個人の属性から推測されるパスワードを使用すると、簡単にパスワ
ードを見破られてしまい、なりすましによる不正侵入を許すことに
なってしまいます。