解説
1
(1)
表セキュリティ要件「パスワードは定期的に変更することとし、類推が困難な文字列を採用」
⇒類推が困難な文字列を採用することで辞書攻撃などを防ぐことができる。
また悪意のある第三者の不正アクセスを想定している点にも併せて着目。
(2)
表ログ管理「ファイルは外部から書き換えられないように、独立したサーバに集約」に着目。
⇒外部からのアクセスがない社内向けLAN且つ独立したサーバより回答を導く。
2
(1)
問題文[アカウントの管理]「有効期限を超過している場合、~パスワードを強制的に変更する機能が設けられている」
⇒初期パスワードが不正利用されないためには、初回ログイン時に強制的にパスワードを変更する仕組みがあれば良いことがわかる。
(2)
・現在の運用
問題文[アカウントの管理]「退職した正社員・派遣社員のアカウントの削除については、直ちに承認されているが、サーバからの削除は2週間ごとに実施する定期メンテナンス作業の中で実施」
⇒退職から最大(削除承認までの日数)+(サーバからの削除2週間)は利用可能である。
承認後、直ちに削除されていない。
・退職者のアカウントが利用可能な状態
問題文[トラブルの発生]「前任者はアカウント付与されてから30日後に退職したので、保管してあるアカウント付与依頼書に記載されていた初期パスワードが有効な状態であった。」
以上より、解答を導く。
(3)
問題文[ログの管理]「セキュリティ要件で規定された期間中は保存できる設計」
⇒現在、特権IDを使用した操作のみのログを取得している。
しかしトラブルの発生に伴い今後は利用者IDを使用した操作の全量ログを取得する方針である。
以上より、ログの記憶容量が増加することが考えられる。さらに増加に伴いセキュリティ要件に基づく一定期間の保存を順守できるかという点についても言及し解答を導く。
3
(1)
・アカウント付与の現状
正社員:承認者は購買部長
派遣社員:承認者は(購買部長⇒)総務部長
※総務部長の承認に時間を要している。
以上より、アカウント付与を円滑に進めるには正社員同様に派遣社員も承認者を購買部長とする必要がある点に言及し回答を導く。
(2)
問題文[セキュリティ監査]「アカウント管理の運用改善策として、サーバ管理者がサーバに登録されているアカウントを定期的に点検」
⇒退職者のアカウント削除が円滑に行われておらず、セキュリティ要件の規定順守に問題がある。
⇒サーバ管理者が定期的に各サーバのアカウント一覧を作成し承認者に確認を依頼。
〇捕捉
アカウント付与依頼書:業務内容に応じたサーバにアカウントを登録
以上より、解答を導く。
(3)
特権ID管理者による不正利用防止には、承認者と行為者の職務を分離した上で、実効性のある統制が必要である点に着目。
表ログの管理「ログは一定期間保存し、定期的に分析」
⇒特権IDを使用した操作を(使用者と異なる別の特権ID管理者が)定期的に分析し特権ID管理者が不正をしていないことを確認
以上より、解答を導く。