問題
問85
パスワード管理に関する情報セキュリティ監査を実施した。監査人が指摘事項として監査報告書に記載すべきものはどれか。
- 利用者がパスワードを設定する際に、文字数や文字種の複雑さに関する要件を設けている。
- パスワードを一定回数以上間違えて入力した場合に、アカウントをロックする仕組みを導入している。
- システム管理者が、利用者のパスワードを知ることができないように、パスワードは不可逆暗号化して保存されている。
- 初期パスワードを利用者に通知した後、利用者自身によるパスワード変更を強制する仕組みがなく、初期パスワードのまま利用しているユーザがいる。
正解
正解は「エ」です。
解説
正解は選択肢エです。情報セキュリティ監査では、組織のルールや対策が適切に運用されているかを確認します。パスワード管理において、システム管理者が払い出した初期パスワードは、あくまで一時的なものです。なぜなら、そのパスワードは管理者も知っている可能性があり、また単純な文字列(例: username123)で推測されやすい場合が多いからです。そのため、セキュリティのベストプラクティス(最も良いとされる慣行)では、利用者が最初にログインした際に、必ず自分しか知らない新しいパスワードに変更することを強制する仕組みが求められます。
選択肢エの状況は、この仕組みがなく、推測されやすい初期パスワードが使い続けられていることを示しています。これは、不正アクセスのリスクを著しく高める脆弱性(弱点)であるため、監査人は改善を促すために指摘事項として報告する必要があります。
ア(利用者がパスワードを設定する際に…):
パスワードの複雑性を要求するのは、ブルートフォース攻撃などへの耐性を高めるための適切な対策です。
イ(パスワードを一定回数以上間違えて…):
アカウントロック機能は、パスワードを繰り返し試す攻撃を防ぐための有効な対策です。
ウ(システム管理者が、利用者のパスワードを…):
パスワードを不可逆暗号化(ハッシュ化)して保存するのは、内部不正や情報漏えい時にパスワードを守るための重要な対策です。
解法のポイント
この問題は、情報セキュリティにおけるパスワード管理の基本的な考え方を問うています。「監査人が指摘すべきこと」とは、「セキュリティ上の問題点・弱点」のことです。各選択肢を読んで、セキュリティ対策として「適切である(良いこと)」か「不適切である(悪いこと)」かを判断します。選択肢ア、イ、ウは推奨される良い対策ですが、エは初期パスワードのままという危険な状態を放置しているため、明確な問題点となります。
用語補足
情報セキュリティ監査:
企業の情報セキュリティ対策が、ルール通りに適切に実施され、有効に機能しているかを第三者の視点で検証・評価することです。
初期パスワード:
アカウントが作成された際に、システム管理者などによって最初に設定される仮のパスワードのことです。
不可逆暗号化:
あるデータを特定の計算手順で変換し、その結果から元のデータを復元(逆変換)できないようにする暗号化方式です。ハッシュ化とも呼ばれ、パスワードの保存に用いられます。
アカウントロック:
ログイン試行時にパスワードを規定回数以上間違えると、そのアカウントを一時的に利用できなくするセキュリティ機能です。
