問題
問44
以下のうち、情報セキュリティ対策として適切なものをすべて挙げよ。
- a. 二要素認証の導入
- b. 管理職専用のパスワード共有
- c. 業務端末でSNSにログイン
- d. 定期的なパスワード変更の促進
- a, d
- a, b
- b, c
- c, d
正解
正解は「ア」です。
解説
正解は「ア」の「a, d」です。まず「a. 二要素認証の導入」は、IDとパスワードだけでなく、指紋認証やスマートフォンでの確認など、2つの異なる方法で本人確認を行うため、非常に効果的な情報セキュリティ対策です。万が一パスワードが漏洩しても、もう一つの要素がなければ不正アクセスは困難になります。
次に「d. 定期的なパスワード変更の促進」は、情報漏洩のリスクを下げる基本的な対策であり、一定期間ごとにパスワードを変更することで、第三者に知られていたとしてもその期間を限定できます。これら2つは企業や個人にとって基本かつ有効なセキュリティ対策であり、組み合わせて実施することでより高い効果を発揮します。
- イ(a, b):
bの「パスワード共有」は重大なセキュリティリスクです。たとえ管理職であっても、パスワードは個別に管理すべきであり、共有すると誰が不正アクセスしたのか特定できなくなります。 - ウ(b, c):
どちらも不適切です。bのパスワード共有は上記の通りであり、cの「業務端末でSNSにログイン」も私的利用によってマルウェア感染などのリスクが高まり、業務データの漏洩につながる恐れがあります。 - エ(c, d):
cが不適切です。業務端末は業務専用に利用するべきであり、私的なSNS利用は情報漏洩やセキュリティインシデントの原因となることがあります。
難易度
この問題は情報セキュリティの基本的な考え方に関するもので、初学者でも選択肢の内容を常識的に判断すれば解答可能です。具体的な技術知識よりも、日常的なセキュリティ意識を問う内容となっており、難易度は「やさしい」と言えます。
用語補足
二要素認証:
パスワードに加え、指紋やスマートフォンの確認など別の認証手段を組み合わせたセキュリティ対策です。例えば、ATMでカードと暗証番号を使うのも二要素認証の一種です。
パスワード共有:
複数人で1つのパスワードを使い回すことを指します。これはセキュリティ上極めて危険で、誰が使ったかの責任の所在が不明になります。
定期的なパスワード変更:
セキュリティを維持するために、一定期間ごとにパスワードを新しくすることです。これにより、万が一の漏洩時にも被害を最小限にできます。
業務端末:
仕事で使用するパソコンやスマートフォンなどの端末を指します。私用利用は基本的に禁止されており、業務以外の利用はセキュリティリスクを高めます。
対策
情報セキュリティの問題では、「どの行動が安全か、危険か」を正しく判断する力が求められます。対策としては、セキュリティの基本方針(例:個人ID・パスワードの取り扱い、業務用端末の使い方など)を日常的に意識して覚えることが重要です。また、IPAが提供するセキュリティ啓発資料も活用しましょう。
