情報セキュリティマネジメント令和6年 [科目B]問13

問13

 A社は,従業員100名の食品製造・販売会社である。A社では,営業部が取り扱う顧客情報をX社のSaaSであるX顧客管理サービス(以下,Xサービスという)を利用して管理している。また,A社は,Xサービスの不正アクセス対策として,Xサービスへのログインは,A社の社内ネットワークからだけ許可しており,A社の社外からはできないように設定している。
 Xサービスに備わっている不正ログインを防止するための機能と,A社がXサービスに適用している現在の設定を表1に示す。
13_1.png/image-size:563×198
 A社では,昨今の社会情勢を鑑みて,営業部員を対象にテレワーク制度の導入を検討することにした。社外からもXサービスを利用できるようにしたい。また,社外から不正アクセスされるリスクを低減するために,利用者認証を強化したい。そこで,機能1~5の設定について,必要な変更を二つ実施することにした。

設問 A社が実施することにした設定変更の組合せはどれか。解答群のうち,最も適切なものを選べ。

分類

情報セキュリティマネジメントの計画・要求事項 » リスクアセスメント及びリスク対応

正解

解説

〔有効から無効にする機能について〕
テレワークの導入に伴い、営業部員が社外からXサービスにアクセスできるようにする必要があるため、アクセス元IPアドレスを制限している機能1を無効化する必要があります。したがって、機能1が該当します。
機能2については、パスワード認証よりも強力な認証を採用すれば無効化することもあり得ますが、そのような条件は設定されていません。機能3のパスワードポリシーは、無効化すると弱いパスワードが設定されるリスクがあるため現状を維持すべきです。

したがって、無効化するのは機能1です。

〔無効から有効にする機能について〕
社外からのアクセスを許可する場合、ID・パスワード方式のみだと第三者に不正ログインされるリスクが高まるため、認証を強化する必要があります。
機能4のワンタイムパスワードは、通常の認証に加えて使い捨てのパスワードの入力を求めるものです。2段階認証または2要素認証とすることで、利用者認証を強化することができます。機能5のCAPTCHAは、入力している主体がプログラムか人間かを判別するための認証機能であり、不正ログインのリスクを下げることはできません。

したがって、有効化するのは機能4です。

以上より、機能1と機能4の組合せである「ア」が正解です。
© 2015-2024 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop