「マトリクス認証」「情報セキュリティ方針」の解説
マトリクス認証とは?
.001-3-1024x768.jpeg)
「マトリクス認証」とは、 アクセスのたびに異なる数字が表示される乱数表(マトリクス表)から予め設定した位置と順番で、認証を行うワンタイムパスワードのことです。
「マトリクス認証」のメリットとして、マトリクス表は認証ごとに異なるので、盗聴によりパスワードが漏えいしても再利用されることがない点、文字列パスワードよりも忘れにくいといった点をあげることができます。
しかし、「マトリクス認証」は、盗み見等の行為により位置・順序情報を知られてしまうと不正アクセスを受ける可能性があります。そのため、「マトリクス認証」は、多要素認証の1つとして他の認証方式と併用されることもあります。
マトリクス認証に関する問題
◆確認問題
システムの利用者を認証するための方式に関する記述のうち,適切なものはどれか。
出典:平成30年度 秋期 ITパスポート試験公開問題 問69
ア. 一度しか使えないパスワードを用いて認証する方式を,シングルサインオンという。
イ. 一度の認証で,許可されている複数のサーバやアプリケーションなどを利用できる方式を,ワンタイムパスワードという。
ウ. 画面に表示された表の中で,自分が覚えている位置に並んでいる数字や文字などをパスワードとして入力する方式を,マトリクス認証という。
エ. 指紋や声紋など,身体的な特徴を利用して本人認証を行う方式を,チャレンジレスポンス認証という。
◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。
- ア:「シングルサインオン」とは、許可されている複数のサーバやアプリケーションなどを利用できる方式のことです。確認問題の記述は、「ワンタイムパスワード」の説明になります。
- イ:「ワンタイムパスワード」とは、一度しか使えないパスワードを用いて認証する方式のことです。確認問題の記述は、「シングルサインオン」の説明になります。
- ウ:正解です。
- エ:「チャレンジレスポンス方式」とは、通信経路上に固定パスワードを流さずに、チャレンジコードとレスポンスコードのやり取りによって認証を行う方式になります。
情報セキュリティ方針とは?
.001-4-1024x768.jpeg)
「情報セキュリティ方針」とは、組織の経営者が最終的な責任者となり、会社の情報セキュリティに対する原則、取り組み姿勢、基本的な考え方などを社内外に宣言する文書のことです。
「情報セキュリティ方針」の作成には、主に下記事項の記載を満たす必要があります。
- 会社の目的に対して適切であること:情報セキュリティ方針の組織のなかでの位置づけや、狙いを明確にします。
- 情報セキュリティ目的を含むこと:ISMS(情報セキュリティマネジメントシステム)の狙いと、その必要性・重要性を明確にします。
- 情報セキュリティに関連する要求事項を満たすことへの約束(コミットメント):情報セキュリティ関連の法令やガイドライン、契約上のセキュリティ義務を守っている旨を約束する文章を入れる必要があります。
- ISMSを継続的に改善していくことの約束(コミットメント) :
- 情報セキュリティへの取り組みを継続的に改善してくことを宣言する旨を約束する必要があります。
情報セキュリティ方針に関する問題
◆確認問題
ISMSにおける情報セキュリティ方針の説明として,適切なものはどれか。
出典:平成30年度 秋期 ITパスポート試験公開問題 問70
ア. 個人情報を取り扱う事業者が守るべき義務を規定するものである。
イ. 情報管理者が情報セキュリティを確保するために実施する具体的な手順を示すものである。
ウ. 情報セキュリティに対する組織の意図を示し,方向付けをするものである。
エ. 保護すべき情報を管理しているサーバのセキュリティの設定値を規定するものである。
◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。
- ア:「プライバシーポリシ」や、「個人情報保護指針」の説明になります。
- イ:「情報セキュリティ方針」は、経営層によって策定されます。また、具体的な手順については記載されません。
- ウ:正解です。
- エ:情報資産等の具体的な管理策については、記載されません。