情報セキュリティマネジメント試験情報＆徹底解説

問13 
A 社は，従業員100 名の食品製造・販売会社である。A 社では，営業部が取り扱う顧客情報をX社のSaaS であるX顧客管理サービス（以下，Xサービスという）を利用して管理している。また，A 社は，X サービスの不正アクセス対策として，X サービスへのログインは，A 社の社内ネットワークからだけ許可しており，A 社の社外からはできないように設定している。 X サービスに備わっている不正ログインを防止するための機能と，A社がXサービスに適用している現在の設定を表1に示す。 

表1 不正ログインを防止するための機能と現在の設定（抜粋） 不正ログインを防止するための機能 

機能1 指定したIP アドレスからアクセスした場合だけ，ログインできるよう制限する。 現在の設定 有効
機能2 利用者IDとパスワードによって認証する。 現在の設定 有効
機能3 英字，数字，記号の3種類全てを含む8文字以上のパスワードを強制する。 現在の設定 有効
機能4 ワンタイムパスワードによって認証する。 現在の設定 無効
機能5 ログイン画面にCAPTCHAを表示し，回答させる。 現在の設定 無効 
 注1) A社が使用しているグローバルIPアドレスを指定している。 

A 社では，昨今の社会情勢を鑑みて，営業部員を対象にテレワーク制度の導入を検討することにした。社外からもXサービスを利用できるようにしたい。また，社外から不正アクセスされるリスクを低減するために，利用者認証を強化したい。そこで，機能1～5の設定について，必要な変更を二つ実施することにした。 

有効から無効にする機能については理解できます。しかし、無効から有効にする機能が機能4が正解で機能5が不正解なのがわからないです。
CAPTCHA認証は不正アクセスには有効な手段かと思います。

CAPTCHA認証よりワンタイムパスワード認証がリスク低減になるのはなぜでしょうか？

>CAPTCHA認証よりワンタイムパスワード認証がリスク低減になるのはなぜでしょうか？
CAPTCHAって人間かロボットかの判定であって、本人か否かの判定ではないです。
つまり、CAPTCHAで人間だと判定されても別人のアクセスかもしれません。

不正アクセスを防ぐ上では、本人であるか否かの方が重要な筈です。
そして、発行したワンタイムパスワードを取得できる手段があるのなら本人である可能性も高いでしょう。そのため機能4が正解になるのです。

y4 kさん

ありがとうございます。不正アクセスを防ぐ上では、本人であるか否かの方が重要な筈です。

＞不正アクセスを防ぐ上では、本人であるか否かの方が重要な筈です。
まさにそのとおりですね。大変勉強になりました。

>スレ主さん
私も同じことを思いました。
普段CHAPCHA認証は本人が認証しているので勘違いしてました。
y4 kさん解説ありがとうございました。
人かロボットの判断するですね