平成30年度 春期 ITパスポート試験 公開問題 問63 解説 パスワード管理

この問題は、パスワード管理における「やってはいけないこと」を除外していくことで正解に辿り着けます。選択肢イ、ウ、エはすべて重大なセキュリティリスクを招く行為であり、アだけが安全な管理原則に合致しています。

パスワード管理の鉄則：使い回しの禁止

パスワードの管理で最も重視されるのは、万が一の漏洩時に被害が拡大するのを防ぐことです。あるサービスから流出したパスワードを別のサービスでも使い回していると、攻撃者はそのパスワードを使って他のサービスにも不正にログインできるようになります。これを防ぐため、業務システムや私的なサービスなど、利用先ごとに個別のパスワードを設定するのが鉄則です。

パスワードの適切な管理方法

なぜ他の選択肢が不適切なのか、それぞれのセキュリティリスクを確認しましょう。

初期パスワードの変更（選択肢イ） 初期パスワードはシステム管理者などが指定した共通の文字列であることが多く、第三者に推測されやすい状態です。ログイン直後に自分しか知らない複雑なパスワードへ変更することが、不正アクセス防止の第一歩となります。

パスワードの使い回し（選択肢ウ） 先述の通り、パスワードの使い回しは「芋づる式」に被害を広げる原因です。パスワードマネージャー（パスワード管理ソフト）などを活用し、サービスごとに異なるパスワードを生成・保存するのが現代の推奨される管理手法です。

平文での保存（選択肢エ） 平文とは、暗号化されていない「そのまま読める状態」のデータです。PC上にパスワードをメモしたファイルを置いておくと、PCがウイルス感染したり、第三者に覗き見られたりした瞬間にすべてのパスワードが流出します。パスワードは頭の中で覚えるか、暗号化されたツールで管理し、絶対にそのままの形で保存してはいけません。

試験におけるパスワード関連の重要ポイント

ITパスポート試験では、パスワードに関して以下のキーワードと概念が頻出します。

・推測されにくいパスワード：名前や生年月日、単純な英単語を避け、英数字や記号を組み合わせた長い文字列にする。 ・多要素認証：パスワードだけでなく、スマホのSMS認証や認証アプリを組み合わせることで、万が一パスワードが漏れた際の防御力を高める。 ・使い回しの禁止：複数のシステムやサイトで同一のパスワードを使用しない。

これらは実務でも極めて重要なセキュリティの基本であるため、単なる暗記ではなく、なぜそのルールが必要なのかという理由をセットで理解しておきましょう。

• JPCERT コーディネーションセンター：安全なパスワード管理について