平成18年秋期試験問題 午前問72
問72解説へ
社内のセキュリティポリシーで,利用者の事故に備えて秘密鍵を復元できること,及びセキュリティ管理者の不正防止のための仕組みを確立することが決められている。電子メールで公開鍵暗号方式を使用し,鍵の生成はセキュリティ部門が一括して行っている場合,秘密鍵の適切な保管方法はどれか。
- 1人のセキュリティ管理者が,秘密鍵を暗号化して保管する。
- 暗号化された秘密鍵の一つ一つを分割し,複数のセキュリティ管理者が分担して保管する。
- セキュリティ部門には,秘密鍵を一切残さず,利用者本人だけが保管する。
- 秘密鍵の一覧表を作成し,セキュリティ部門内に限り参照できるように保管する。
正解 イ問題へ
広告
解説
- 1人の管理者に秘密鍵の保管を任せると、その管理者が悪意を持った場合やアカウントが乗っ取られた場合に、すべての秘密鍵が漏えいするリスクがあります。ガバナンスや内部不正防止の観点から、好ましくありません。
- 正しい。鍵の復元に複数人の合意が必要になるため、1人の管理者による不正を防止できます。認証局などの特に重要なセキュリティが要求される機関は、秘密鍵の保管方法に記述のような秘密分散技術を用いています。
- 利用者本人だけが秘密鍵を保管していると、万が一紛失・故障・退職などが起きた場合に、復元ができず業務継続に支障をきたします。
- 一覧表として秘密鍵を管理すると、漏えい時の影響範囲が極めて広くなるなど保存形式としてリスクが高いです。セキュリティ部門であれば誰でも参照できるため、内部不正防止の観点から推奨されません。
広告