H31 春 午後2 問2 設問5 (3)

あいさん  
(No.1)
本問の解答例はパスワードの変更となっていますが、アカウントロックと記述した場合は誤答となるのでしょうか。またその場合パスワードの変更とアカウントロックどちらがどういうときの解答としてふさわしいのでしょうか。ご教授ください。
2023.04.01 10:31
pixさん 
SC ダイヤモンドマイスター
(No.2)
過去にも度々不正ログインに関するアカウントの取り扱いの質問があがっております。
対応方法は状況により、ケースバイケースとなります。
今回は本設問に特化した内容を回答いたします。

本設問は共有の利用者ID:kyoudou@a-sha.co.jp (ID-K)が不正ログインされました。
また、下線④は「ID-Kへの『一時的』な対処」とあり、『一時的』という文言が
敢えて書かれています。

対応としては以下の3つが考えらえます。それぞれについて説明いたします。
1.パスワードの変更
  対処としてすぐに実施できるので、『一時的』な対処として適切である。
  時間的猶予ができたのち、必要あれば恒久な対処として、「3. アカウントの削除・
  新規作成」の実施を検討する。

2. アカウントのロック
  対処としてすぐに実施できるが、ID-Kは利用できなくなる。
  ID-Kが利用できなくなることにより、業務影響、対顧客影響、機会損失が発生する
  可能がある。そうなると企業としてマイナス要素が多いため、対処として適さない。

3. アカウントの削除・新規作成
  パスワード流出時の対応として一番強力かつ確実である。
  しかし、アカウント削除・新規作成には関連部署への申請、関連システムへの
  再登録などで1日~1週間かかるケースも考えられる。これは『一時的』な対処と
  しては不適切である。
  また、アカウントとァイルの権限が紐づいている場合、アカウント削除・
  新規作成後に適切な権限を再付与する必要がある場合は非常に手間のかかる作業と
  なる。

こういった点はSCの設問特有の概念になります。スペシャリスト系の設問なので
技術的な観点で可・不可を検討してしまいがちです。
しかし、セキュリティの本質として「攻撃者」と「利用者」に発生する利害関係が
根底にあることを意識して事象を検討することが重要となります。
2023.04.01 12:19
あいさん  
(No.3)
なるほど。
対応にかかる工数と、それに応じた業務への影響を考慮するのですね!!
参考にさせていただきます。丁寧な解説ありがとうございます。
2023.04.01 14:26
とりさしさん 
(No.4)
本問のシステムにはアカウントロックの機能があるとは書いてないので
「存在しない機能を勝手に捏造するな」
という意味でも減点になりそうです。
2023.04.01 17:22

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop