情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

下記■の２点が悟れないです。教えて頂きたいです。

■Ｈ25年度  秋期  午後Ⅰ  問３  設問１
仮パスワードの入手方法について、「社外でリモートPCが不正利用される」
もポイントの１つと思います。
標準解答の「申請メールに第三者の携帯メールアドレスを指定」の前に、
まず申請メールを送れるPCを不正利用しないといけないと思います。

よって、解答には下記２点が含まれるべきだと思いますが、いかがでしょうか？
・社外でリモートPCが不正利用される
・申請メールに第三者の携帯メールアドレスを指定

■Ｈ25年度  秋期  午後Ⅰ  問３  設問２
不正利用が長引く理由について、「ログイン状態が２４時間保たれる」
もポイントの１つではないのでしょうか？

べんきょうさん

再び、僭越ですが。
■Ｈ25年度  秋期  午後Ⅰ  問３  設問１  について
「仮パスワードの入手方法について『社外でリモートPCが不正利用される』」という考え方は、問題文14ページの図１ネットワーク構成の概要、直前の問題文「客先や自宅で作業を行う従業員には、･･･」を基にされていると推察致します。

ところで、設問１の①アンダーライン部分の問題文（17ページ）「Ｑさんが手順案をＸ課長に提示したところ、"図２の手順では、①第三者が･･･」の①よりも前の文に注目して下さい。
この設問は、ＱさんがＸ課長に提示した「図２  Ｃサービスの利用者ＩＤ登録手順案（抜粋）」に即して（限定して）回答させることを題意としていると思われます。

従いまして、「・社外でリモートPCが不正利用される」というご見解は、題意から外れているので正解に含めてはいけないと思います。

（設問２については、改めて考察致します）

べんきょうさん
■Ｈ25年度  秋期  午後Ⅰ  問３  設問２  
「不正利用が長引く理由について、『ログイン状態が２４時間保たれる』もポイントの１つではないのでしょうか？」につきまして

比較例として、ログイン状態が１時間しか保たれない場合を考えてみます。
問題文17ページ  図３  認証の手順案（抜粋）手順(1)～(8)を引用します。
17ページ本文３行目より、利用者IDとパスワードが推測されてしまっているので、
攻撃者による認証を時系列で書いてみると、
初回認証 (1)→(2)→(3)→(4)→(5)→(6)→(7)→(8)→ログイン状態継続

１時間後、図３の注記「～自動的にログアウトされ、再度(1)から認証を行う。」より
２回目の認証、利用者IDとパスワードでログインする。この時、クッキーは有効期間90日以内なので、(2)～(5)のワンタイムパスワードにより２要素目の認証手続きは不要となります。 (1)→(6)→(7)→(8)→ログイン状態継続

さらに１時間後、自動的にログアウトされ、再度(1)から認証を行う。
 ３回目の認証   (1)→(6)→(7)→(8)→ログイン状態継続

さらに１時間後・・・

すなわち、ログイン状態の継続時間が短縮されても、クッキーの有効期間90日以内ならば、攻撃者は１時間ごとに手順(1)に戻り、（推測した）利用者IDとパスワードでログインをすれば、何度でもＣサービスを利用できることになります。

このように、クッキーの有効期間が長いと、本問では２要素認証「利用者IDとパスワード」かつ「ワンタイムパスワード」が無効化されて、長期間の不正使用が可能になることがわかります。

従いまして、不正利用が長引く理由について「ログイン状態が２４時間保たれる」は、ポイントの１つにはならないと思います。

おやじチャレンジャーさん

いつも回答いただき、本当にありがとうございます。

■Ｈ25年度  秋期  午後Ⅰ  問３  設問１  について

仮に申請メールを出すのは、社内でしかできないのであれば、
社内ではみんなが自分のIDを持っているため、余計な不正申請はしないのです。
社外でリモートPCが使えるから、メールソフトが部外者に悪用され、不正申請が発生。
※図２にもスタートからメールソフトが登場しています。

もし、「PCの社外利用で危険性をにおわせる」と、出題者がわざわざと設けた罠であれば、
私は見事に引っかかっております。


■Ｈ25年度  秋期  午後Ⅰ  問３  設問２  について、

分かりやすい説明、ありがとうございます。

セキュリティの試験なので、厳しめに考えてました。
「システムと言えば、１０分に操作がなければタイムアウトだ！」
と勝手に思い込んていました。
確かに、２４時間よりも長くログイン状態が維持するシステムがよくあります。