情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

マルウェアに「利用者ID」、「パスワード」、「アップロード用URL」が窃取され勝手にファイルがアップロードされていた。
これを防ぐための追加の手順とは？という問題です。

「多要素認証」って正解になりませんか？
機器の導入などがネックになるのでしょうか？

模範解答は「上長による承認」でした。

この問題の解答については度々質問が上がっております
解答の「上長による承認」は文中にまったくヒントがなく
純粋に知識だけで解答となっているため難問です

>「多要素認証」って正解になりませんか？
>機器の導入などがネックになるのでしょうか？
この解釈は適切と思われます
多要素認証を実現するには
・認証サーバの準備
・認証器（スマートフォンなど）の貸与
などの多くの負担が発生します

また、追加手順の発生場所が「図4の手順2の後に」
とあるので、ファイルアップロード後に実施となっております
「多要素認証」であるならば「図4の手順1の後に」に
が適切と思われます
問題文には「正当なファイル転送であることを確認するために」と
あります
認証を問うのであれば「正当なユーザであることを確認するために」と
なるべきでしょう

問題文には書いてありませんが
「上長による承認」は本来は
「誤送信防止のための第三者承認機能」と考えられます

ファイルの受け渡し処理には常に誤送信が発生する可能性が
あるのでこの手の製品には類似の機能が大体実装されております
この機能を流用してマルウェアによるアップロード時も
利用しようと考えたのでしょう

元からある機能の流用なので実装負担は0ですみます
「それを利用してはどうか」というのはこのような
意図が含まれているのかもしれません

私は下記の流れで"第三者の承認"と導き出しました。

図2  業務遂行のために必要な要件
”3.  ～社外の共同研究者と共有するために承認を受けたファイルを～”

承認は非機能要件？
↓
システム化可能？
↓
"第三者の承認"と回答（多分正解扱い？）

”図2  業務遂行のために必要な要件3”
と[空欄I]前の文章
”正当なファイル転送である事の確認するのために”から察すると

ファイルの内容の正当性チェックも重要なのではないかと思います。

多要素認証ではファイルの内容の正当性までは確認
出来ないので、人によるチェックは必要かと思います。

ご回答ありがとうございます。
皆様の書き込みにより、問題文から多要素認証が試験の想定解とは異なることが納得できました。
感謝いたします。