情報セキュリティ対策誤り発見
以下の記述で誤っているものはどれか。
A.暗号化されたパスワードが流出した場合、適切な暗号学的ハッシュ関数が使用されていれば、元のパスワードを逆算から復元することはほぼ不可能である。
✓ この記述は正しい。適切なハッシュ関数(bcrypt、scryptなど)ではレインボーテーブル攻撃にも耐性がある。
B.クラウドサービスを導入した場合、データセキュリティの責任はすべてクラウドプロバイダーにあるため、組織の情報セキュリティ対策は不要である。← 正解
✓ 正解です。この記述が誤りで、クラウド環境でも組織は共有責任モデルに基づく対策が必要です。データの暗号化や アクセス管理など、組織側の責任分が存在します。
C.侵入検知システム(IDS)は、ネットワーク上の異常な通信パターンを検出し、セキュリティアラートを発行する。
✓ この記述は正しい。IDSは異常検知による防御の一部である。
D.定期的なセキュリティ意識向上研修は、従業員がフィッシング詐欺やソーシャルエンジニアリングの手口を認識することで、被害軽減につながる。
✓ この記述は正しい。人的防御層の強化は多くの脅威を防止できる。
「情報セキュリティ対策」の他の問題
ファイアウォールのログ記録機能が無効化されていることが発見されました。この状況で、外部からの不正アクセス試行があった場合…多要素認証(MFA)が導入されていないシステムに対して、フィッシング攻撃で従業員のパスワードが漏洩した場合、組織が被る最…組織が暗号化されていない状態で大量の顧客個人情報を保管していたシステムで、データベースの管理画面へのアクセス制御が弱い状…マルウェア対策ソフトが最新の定義ファイルに自動更新されていない状態のまま6ヶ月間放置されていた場合、その間に発生する最大…社員が業務用ノートパソコンを駅のカフェで紛失した後、当該パソコンにはHDDの暗号化が施されていなかったことが判明しました…ある組織で、従業員全員のパスワードポリシーが「8文字以上、大文字小文字数字を含む」という単純な要件のみで、パスワード変更…