解決済み
R4 中小企業診断士 経営情報システムで納得がいかない答えがあります。 <問16問> 問
R4 中小企業診断士 経営情報システムで納得がいかない答えがあります。 <問16問> 問総務省は「IDとパスワードの設定と管理のあり方(国民のための情報セキュリティ)」でパスワードの設定と管理について留意点をあげている。パスワードの漏洩リスクを低減するための個人や組織の対策として、最も不適切なものはどれか。 答 ア アカウントの乗っ取りやパスワード流出の事実がなくとも、管理者がユーザーにパスワードの変更を定期的に要求すること。 イ パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと ウ パスワードを電子メールでやりとりしないこと エ パスワードを複数のサービスで使い回さないこと オ やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など 安全な方法で保管すること 正答はアとなっていますが、ア が不適切とは言えないと思いますが、いかがでしょうか? パスワードの定期的な変更要求は、ネットバンキングなどでよくあることだと思いますが。
117閲覧
回答(1件)
- ベストアンサー
うーん、正直意見が分かれるところではあると考えますが、問題文では「総務省は…」という主語で始まっています。 そういう意味では、総務省がどう考えているか、という観点から回答しなければなりません。 総務省は下記サイトにて、 ーーーーーーーーーーーー 利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。 これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。 (※1) NIST SP800-63B(電子的認証に関するガイドライン) (※2) https://www.nisc.go.jp/security-site/handbook/index.html ーーーーーーーーーーーー と記載していることから、回答は【ア】となります。 https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_privacy_01-2.html 以上、参考になれば幸いです。
< 質問に関する求人 >
中小企業診断士(東京都)この条件の求人をもっと見る
求人の検索結果を見る
< いつもと違うしごとも見てみませんか? >
覆面調査に関する求人(東京都)この条件の求人をもっと見る