難易度・正答率・重要度
- 難易度:★★☆☆☆(セキュリティ基本)
- 正答率:★★★☆☆(現行ガイドラインの理解)
- 重要度:★★★☆☆(認証運用の実務)
問題文
パスワードを適切に設定して管理することは、ネットワーク社会でセキュリティを守るための基本である。
総務省は、「ID とパスワードの設定と管理のあり方(国民のための情報セキュリティサイト)」でパスワードの設定と管理についての留意点をあげている。パスワードの漏えいリスクを低減するための個人や組織の対策として、最も不適切なものはどれか。
ア
アカウントの乗っ取りやパスワード流出の事実がなくとも、管理者がユーザにパスワードの定期的変更を要求すること。
イ
パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと。
ウ
パスワードを電子メールでやりとりしないこと。
エ
パスワードを複数のサービスで使い回さないこと。
オ
やむを得ずパスワードをメモなどに記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること。
出典:中小企業診断協会|2022年度 第1次試験問題|経営情報システム(PDF)
解答
- 正解:ア(定期的変更の一律要求)
解説
- ア:×
事実のない状態で一律の「定期的変更」を要求する運用は不適切。弱いパスワードや使い回しを誘発し、実効性を損なう。 - イ:〇
メモの貼り出しは厳禁。視覚的な情報漏えいの典型例を避ける。 - ウ:〇
平文メールでのやり取りは盗聴や誤送信のリスクが高いため禁止が望ましい。 - エ:〇
使い回しは一箇所の漏えいが連鎖被害に直結するため不可。 - オ:〇
やむを得ないメモは物理的に安全な場所で保管するのが妥当。
学習のポイント
- 変更の原則: 変更は「漏えい兆候・不正アクセスの疑い・方針変更」など必要時に行う。定期変更のルール化は避ける。
- 強固な設定: 長く複雑で推測困難なパスフレーズ+多要素認証の併用、使い回し禁止。
- 安全な取り扱い: 平文送信の禁止、可視化リスク(付箋・画面表示)の排除、保管は物理的・論理的に安全な手段で。