HOME»情報処理安全確保支援士掲示板»H30 春 午後1問3 設問4

情報処理安全確保支援士掲示板

掲示板検索:

[0725]H30 春 午後1問3 設問4

 MFAさん(No.1) 
マルウェアに「利用者ID」、「パスワード」、「アップロード用URL」が窃取され勝手にファイルがアップロードされていた。
これを防ぐための追加の手順とは?という問題です。

「多要素認証」って正解になりませんか?
機器の導入などがネックになるのでしょうか?

模範解答は「上長による承認」でした。
2021.09.28 23:56
わいわいさん(No.2) 
この問題の解答については度々質問が上がっております
解答の「上長による承認」は文中にまったくヒントがなく
純粋に知識だけで解答となっているため難問です

>「多要素認証」って正解になりませんか?
>機器の導入などがネックになるのでしょうか?
この解釈は適切と思われます
多要素認証を実現するには
・認証サーバの準備
・認証器(スマートフォンなど)の貸与
などの多くの負担が発生します

また、追加手順の発生場所が「図4の手順2の後に」
とあるので、ファイルアップロード後に実施となっております
「多要素認証」であるならば「図4の手順1の後に」に
が適切と思われます
問題文には「正当なファイル転送であることを確認するために」と
あります
認証を問うのであれば「正当なユーザであることを確認するために」と
なるべきでしょう

問題文には書いてありませんが
「上長による承認」は本来は
「誤送信防止のための第三者承認機能」と考えられます

ファイルの受け渡し処理には常に誤送信が発生する可能性が
あるのでこの手の製品には類似の機能が大体実装されております
この機能を流用してマルウェアによるアップロード時も
利用しようと考えたのでしょう

元からある機能の流用なので実装負担は0ですみます
「それを利用してはどうか」というのはこのような
意図が含まれているのかもしれません
2021.09.29 05:38
第三者さん(No.3) 
私は下記の流れで"第三者の承認"と導き出しました。

図2  業務遂行のために必要な要件
”3.  〜社外の共同研究者と共有するために承認を受けたファイルを〜”

承認は非機能要件?

システム化可能?

"第三者の承認"と回答(多分正解扱い?)
2021.09.29 09:41
第三者さん(No.4) 
”図2  業務遂行のために必要な要件3”
と[空欄I]前の文章
”正当なファイル転送である事の確認するのために”から察すると

ファイルの内容の正当性チェックも重要なのではないかと思います。

多要素認証ではファイルの内容の正当性までは確認
出来ないので、人によるチェックは必要かと思います。

2021.09.29 10:54
 MFAさん(No.5) 
ご回答ありがとうございます。
皆様の書き込みにより、問題文から多要素認証が試験の想定解とは異なることが納得できました。
感謝いたします。
2021.09.30 10:28

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop