情報セキュリティ

基本情報技術者試験パスワードポリシー」の問題

情報セキュリティ情報セキュリティ難易度:hard
A社では全利用者に30日ごとのパスワード強制変更を課しているが、利用者が『Password01』『Password02』のように末尾の数字だけを増やして使い回し、かえって推測されやすいパスワードが定着している。近年のガイドラインも踏まえ、認証強度を高める運用見直しとして最も適切なものはどれか。
使える期間をさらに縮めるべく、強制変更の周期を15日ごとに前倒しする。
変更周期は据え置いたまま、求める最低文字数の要件だけを従来より2文字ぶん引き上げる。
直前1世代と同一の文字列を再設定できないよう履歴照合を加え、他は現状を踏襲する。
周期での一律強制をやめ、漏えいの兆候がある利用者にのみ変更を求める方式とする。
正解
周期での一律強制をやめ、漏えいの兆候がある利用者にのみ変更を求める方式とする。

問題の本質は『短周期の強制変更が末尾連番という規則的な使い回しを誘発している』点にある。近年のガイドラインは、漏えいの兆候がない限り定期強制変更を求めず、十分に長いパスフレーズや多要素認証で強度を確保し、漏えい検知時に変更させる運用を推奨する。利用者の悪い習慣を断ち、真の強度を高められる。

?選択肢ごとの解説

ア ×周期を15日へ短縮すると変更負担がさらに増し、連番化など安易な微変更を一層助長して推測されやすさが悪化する。
イ ×最低文字数を2文字増やしても、増やした分を固定文字で埋める運用になりやすく、強制変更が招く微変更癖そのものは正されない。
ウ ×直前1世代の禁止だけでは末尾数字を2つ進めるなどで容易に回避でき、規則的な微変更の根本問題は解消しない。
エ ○問題の本質は『短周期の強制変更が末尾連番という規則的な使い回しを誘発している』点にある。近年のガイドラインは、漏えいの兆候がない限り定期強制変更を求めず、十分に長いパスフレーズや多要素認証で強度を確保し、漏えい検知時に変更させる運用を推奨する。利用者の悪い習慣を断ち、真の強度を高められる。

くわしく

パスワード運用は『理論上の強度』だけでなく『利用者の実際の行動』を考慮すべきである。頻繁な強制変更は記憶負担から規則的・推測可能な変更を誘発し、かえって安全性を下げる。現代の指針は変更頻度より長さ・漏えい監視・多要素を重視する方向にある。

本番での押さえどころ

試験のコツ

定期強制変更が連番化など悪習を招く事例では、強制変更の廃止+漏えい時変更+長さ・多要素が近年の正解の方向。

覚え方

『変えさせすぎると手を抜く』。頻繁な強制変更より、長いパスフレーズ+漏れたら変える。

よくある誤り

『変更は頻繁なほど安全』という直観で周期短縮(ア)を選ぶ。人間の行動を踏まえると逆効果になる点を見落とす。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0061

【基本情報技術者試験】パスワードポリシーの問題 — 解答・解説|ukamiru 過去問