情報セキュアド 平成18年度試験 問題(午後1 問1)
問1 認証機能に関する次の記述を読んで,設問1〜3に答えよ。
V社は,社員数150名の企業で,主に各地の名産品や各国から輸入した食料品の通信販売を行っている。従来,V社は,雑誌に広告を掲載し,電話やファックスによる注文受付を行っていた。V社には,商品企画や営業活動,顧客からの注文受付を行う営業部,商品の仕入れや在庫管理,営業部で受け付けた商品の発送などを行う商品管理部,一般事務を行う総務部,及び情報システムの管理を行う情報システム部がある。
今年,V社では,ビジネスの拡大を目指して,インターネットによる注文受付を開始した。また,継続的に顧客を確保するために,キャンペーン商品や各地の名産品の情報,各国から輸入した食料品に関するコラムなどを掲載した無料のメールマガジン(以下,メルマガという)を毎週提供することにした。
〔V社のシステム概要〕
V社では,インターネットによる注文受付を開始する以前から,商品の管理に関して商品管理サーバを構築し,利用していた。社員は,商品管理サーバにアクセスすることによって,商品の在庫状況を確認できる。今回,注文受付Webサーバ,注文受付サーバ及びメルマガサーバを構築した。構築後のV社のシステム(以下,Qシステムという)の概要を図1に,Qシステムで使用するID種別を表に示す。
| ID種別 | 概要 | ||||||||
| 会員ID |
|
||||||||
| 社員ID |
|
〔メルマガの設定管理〕
メルマガサーバでは,メルマガ購読の申込みと解除の設定を行うことができ,会員IDをもっていない利用者からの利用も広く可能としている。メルマガ購読の申込みと解除の設定方法を,図2に示す。
〔購読の申込み設定方法〕
|
〔情報セキュリティ監査〕
Qシステムが構築され,サービスを開始するまでに,社会的にセキュリティ事故が多発していたので,Qシステムの認証機能を中心に情報セキュリティ監査を専門会社に依頼した。情報セキュリティ監査の結果,図3のような指摘事項が示された。
|
情報セキュリティ監査の結果を受けて,情報システム部のR部長と情報セキュリティスペシャリストのS君は,指摘事項への対応を検討した。次は,R部長とS君の会話である。
| R部長: | 指摘(i)と(ii)への対応は,具体的にどうするのか。 |
| S君: | はい。利用者からメルマガ購読の申込みを受けた場合,電子メールアドレスの入力を確認しただけで,すぐにメルマガを配信するのではなく,仮設定が完了したことと,本設定用のホームページのURL及び〔6〕照合用の文字列を記載したメッセージを,入力された電子メールアドレスあてに送信します。次に,利用者がそのURLにアクセスし,電子メールアドレスと照合用の文字列を入力して,設定を完了するように変更します。この方法によって,設定画面に設定結果を表示しないようにできます。また,解除する場合は,申し込む場合と同様な方法を採ることもできますが,今回は,〔7〕利用者の購読解除を簡単にしたいので,現在のメルマガ購読の解除設定方法のままで,設定結果の表示だけを行わないように変更しようと思います。この変更に伴って,図3中の下線〔3〕の仕組みを追加します。 |
| R部長: | なるほど。指摘(iii)では,会員IDのパスワードをハッシュ化した上で保存しておくべきという指摘をされているが,パスワードをハッシュ化した上で保存しておく場合,どのようにパスワードを認証できるのか。 |
| S君: | [ a ]と[ b ]を照合することによって,顧客が入力したままのパスワード,つまりハッシュ化前のパスワードを削除してもパスワード認証ができます。しかし,ハッシュ化前のパスワードを削除する場合は,〔8〕パスワードを忘れた顧客への対応方法を変更する必要があります。 |
| R部長: | そうか。指摘(v)では,社員IDの初期パスワードが変更されていないことが指摘されている。この対策はどうするのかね。 |
| S君: | はい。〔9〕パスワードの安全な運用管理の観点から,初期パスワードは1週間以内に変更させたいですね。また,その後も繰返し3か月以内にパスワードを変更させるようにすべきです。社員ID管理サーバでは,パスワードの再利用を禁止すること,パスワードの有効期限を3か月にすること,及び初回ログオン時に強制的にパスワードを変更させることはできます。しかし,初期パスワードを設定してから,社員が必ず1週間以内にログオンするとは限らないので,1週間以内にログオンするように規則を定めたいと思います。 |
| R部長: | なるほど。それでは,早速対応に取り掛かってくれ。 |
S君は,対応をまとめ,Qシステムの改良に着手した。
設問1 会員IDについて,(1)〜(3)に答えよ。
| (1) |
本文中の[ a ],[ b ]に入れる適切な字句を解答群の中から選び,記号で答えよ。 解答群 ア 会員が最後に登録したパスワードのハッシュ化前のデータ イ 会員が最後に登録したパスワードのハッシュ化後のデータ ウ ログオン時に入力したパスワードのハッシュ化前のデータ エ ログオン時に入力したパスワードのハッシュ化後のデータ |
| (2) | 図3中の下線〔4〕と下線〔5〕の対策を,それぞれ20字以内で具体的に述べよ。 |
| (3) | 本文中の下線〔8〕の対応方法として,表中の下線〔1〕のパスワードリマインド機能に代わって,どのような仕組みを導入すべきか。40字以内で具体的に述べよ。 |
設問1の解答例と解説へ
設問2 本文中の下線〔9〕で,S君は,初期パスワードを短期間で変更することを勧めている。現状の初期パスワードの配布方法では,社員が長期間ログオンしない場合,どのような問題が起こることを懸念しているのか。起こり得る問題を,30字以内で具体的に述べよ。
設問2の解答例と解説へ
設問3 メルマガの設定管理について,(1)〜(3)に答えよ。
| (1) | 図3中の下線〔2〕の仕組みを導入しない場合,他人が勝手に設定を行うことができるだけでなく,V社のメルマガサーバにも問題が起こる可能性がある。メルマガサーバに起こり得る問題を,20字以内で具体的に述べよ。 |
| (2) | 本文中の下線〔6〕の文字列に求められる要件を,20字以内で述べよ。 |
| (3) | 本文中の下線〔7〕の変更に伴って,追加すべき図3中の下線〔3〕の仕組みを,30字以内で具体的に述べよ。 |
設問3の解答例と解説へ
メニューへ戻る