P 部長ですが、何か?

情報処理技術者試験には以下のような寸劇の問題も出る。ここに登場した困ったおじさん P 部長はネット上 (某巨大掲示板) で一躍人気者になった。こういう問題ばっかりだと楽しいのだが。

2002 年度情報セキュリティアドミニストレータ(情報処理技術者試験)

午後I 問 4

P 部長: 営業部長の P だが、携帯電話から社内ネットワークにつなぐときのパスワードを忘れた。何とかしてくれ。

R 主任: P 部長とおっしゃいましたね。念のため内線電話番号と電子メールアドレスを教えていただけますか。電子メールで新しいパスワードをお送りしますので、それを使ってください。(R 主任は、電話で対応しながら P 部長のアドレス情報を検索し、 内線番号と電子メールアドレスが一応正しいことを確認した。)

P部長: 今、ホテルからなんだ。電子メールが読めないので、今ここでパスワードを教えてくれないか。

R 主任: 申し訳ありません。それはできかねます。

P 部長: 肝心なときに役にたたんな。今朝、重要顧客の L 社の専務から電話があり、電子メールを送ったので至急見てほしいと連絡があったんだ。何とかならんか。

R 主任: L 社ですか。分かりました。それでは、"hysk74pt" を使ってください。

P 部長: 分かった。ありがとう。

設問 (3)

P 部長を名乗る人物から 「肝心なときに役に立たんな。今朝、重要顧客のL社の専務から電話があり、電子メールを送ったので至急見て欲しいと連絡があったんだ。何とかならんか。」と迫られて R 主任はパスワードを教えてしまった。この行動がはらむ危険性を 25 字以内で、またどうすべきであったかを 40 字以内で述べよ。

答え(https://www.atarashi.co.jp/interoffice/rep_ss02.htm より)

セキュリティ対策上の問題は 「本人確認が不十分なままパスワードを教えた」 (20 字)。

どうすべきであったかについては諸説あり 「このバカ野郎、電話を切って首をつれと罵る」 は管理者の賛同は得られても実行は難しい。ある解答例は L 社から受信できる社員へメールを送りなおしてもらうとしていたが、身内の恥を外部にさらすか?と評判が悪い。

常識的にはホテルに電話(コールバック)で所在を把握することだが、

「機能限定の仮アカウントを作り、ホテルへ電話して教える。事の次第をG部長に報告。」(39 字)。

ちなみに G 部長とは情報システム部の部長。

コールバック(ホテルに偽者が P 部長を騙って投宿していると無効だが、宿帳に偽名を書くのは犯罪なので司法が関与してくる)に加え、ログインしても社内データベースにはアクセスできない機能限定アカウントならば仮に偽者であっても損害は抑えられる。そして上司に報告しておくことで、万一セキュリティ事故につながった場合でも責任が軽減される(処理が不適切と判断されればすぐ指示が来て未然に被害を防げるし、部長も不適切と思わなかったのならお咎めも軽い...サラリーマンの常識ね)。 また困ったちゃんの P 部長に対し、釘をさしてもらうことも期待できる。問題文を見たところでは、この G 部長はお飾りでも事なかれ主義者でもなく、ましてや P 部長の同類ではないので、きっとセキュリティポリシー無視に対して強く警告してくれるでしょう。担当役員を動かしてくれれば P 部長は青菜に塩。

Trackback URL for this post: https://econo.twinkle.cc/trackback/81
Posted on 2003-10-21 by yas |