HOME»情報処理安全確保支援士掲示板»平成25年春午後Ⅰ問3設問2の対策について
投稿する
»[0938] 平成31年秋午後Ⅰ問2設問2-(3)について 投稿数:1
»[0937] 平成29年春午後Ⅰ問2表2について 投稿数:5
平成25年春午後Ⅰ問3設問2の対策について [0940]
学生さん(No.1)
下線②"Cサービスが不正使用され、しかも、それが長期間続くおそれがある"の対策についてです。
模範解答では「Cサービスの認証に使用している携帯電話は、紛失や盗難時の届出を義務化し、届出を受けたら直ちにCサービスのパスワードを変更する」となっています。
総務部に速やかに報告するところまでは理解できましたが、そのあとの"Cサービスのパスワードを変更する"というのが、なぜ"利用者IDの無効(または停止)ではないのか分かりません。
私は、その解答の箇所を「利用者IDを無効にする」と解答しました。
ここで疑問なのですが、不正アクセスされた時の対処方法としてアカウントの停止(または無効化)と、利用者のパスワードの変更では、両者をどのようなケースで用いるのが最適解なのかを教えて頂けますでしょうか。
追伸:模範解答が"Cサービス"のパスワードを変更するとなっていることに違和感を感じます。何故"利用者の"ではないんでしょうか。私がこの問の仕様を勘違いしていますでしょうか・・・。
模範解答では「Cサービスの認証に使用している携帯電話は、紛失や盗難時の届出を義務化し、届出を受けたら直ちにCサービスのパスワードを変更する」となっています。
総務部に速やかに報告するところまでは理解できましたが、そのあとの"Cサービスのパスワードを変更する"というのが、なぜ"利用者IDの無効(または停止)ではないのか分かりません。
私は、その解答の箇所を「利用者IDを無効にする」と解答しました。
ここで疑問なのですが、不正アクセスされた時の対処方法としてアカウントの停止(または無効化)と、利用者のパスワードの変更では、両者をどのようなケースで用いるのが最適解なのかを教えて頂けますでしょうか。
追伸:模範解答が"Cサービス"のパスワードを変更するとなっていることに違和感を感じます。何故"利用者の"ではないんでしょうか。私がこの問の仕様を勘違いしていますでしょうか・・・。
2022.09.25 14:21
学生さん(No.2)
タイトルが平成25年春午後問3設問2の対策について。となっていますが誤りです。
平成25年秋午後問3設問2の対策について。が正しいです。申し訳ありません。
平成25年秋午後問3設問2の対策について。が正しいです。申し訳ありません。
2022.09.25 14:23
pixさん(No.3)
★SC ダイヤモンドマイスター
「パスワードの変更」と「利用者IDの無効(停止)」では大きな違いがあります。
多くの場合、利用者IDは利用者のデータと紐づいています。
例として、
・メールデータ
・利用者が作成したファイルなど
などです。
利用者IDの無効や削除をするとこれらのデータが連動して削除される
可能性があります。
もっと一般的な例だとSNSの場合です。利用者IDを無効または削除すると
その利用者の投稿したデータは全て削除されてしまうでしょう。
ですので、「パスワードの変更」と「利用者IDの無効(停止)」では
データの消失リスクがまったく異なります。
「利用者IDの無効(停止)」を行う場合は、重篤な問題がある場合の非常措置と
考えるほうが適切です。
多くの場合、利用者IDは利用者のデータと紐づいています。
例として、
・メールデータ
・利用者が作成したファイルなど
などです。
利用者IDの無効や削除をするとこれらのデータが連動して削除される
可能性があります。
もっと一般的な例だとSNSの場合です。利用者IDを無効または削除すると
その利用者の投稿したデータは全て削除されてしまうでしょう。
ですので、「パスワードの変更」と「利用者IDの無効(停止)」では
データの消失リスクがまったく異なります。
「利用者IDの無効(停止)」を行う場合は、重篤な問題がある場合の非常措置と
考えるほうが適切です。
2022.09.25 15:30
学生さん(No.4)
ご回答いただきありがとうございます!
理解しました。わかりやすい例を挙げていただき感謝申し上げます。
利用者IDの無効化とパスワード変更のリスクの違いに着目してその場に応じて適切にチョイスしていくんですね。
社内システムの環境において、マルウェアに感染した時やPCの紛失の際には無効化して別のアカウントを用意するという問題があったので、それについても理解がより一層深まりました。
理解しました。わかりやすい例を挙げていただき感謝申し上げます。
利用者IDの無効化とパスワード変更のリスクの違いに着目してその場に応じて適切にチョイスしていくんですね。
社内システムの環境において、マルウェアに感染した時やPCの紛失の際には無効化して別のアカウントを用意するという問題があったので、それについても理解がより一層深まりました。
2022.09.27 12:02
その他のスレッド
»[0939] DNSサーバとDNSサーバのC&C通信の驚異とは 投稿数:3»[0938] 平成31年秋午後Ⅰ問2設問2-(3)について 投稿数:1
»[0937] 平成29年春午後Ⅰ問2表2について 投稿数:5