ITの基礎知識|ITパスポート・基本情報

基本情報技術者 令和6年公開問題 科目B 問6

2026.07.13

科目Bに共通する注意事項(表記ルールなど)については、下記のリンク先を参照してください。

基本情報技術者 令和6年公開問題 科目Bの注意事項


問題

A 社は従業員450 名の商社であり,昨年から働き方改革の一環として,在宅でのテレワークを推進している。A 社のシステム環境を以下に示す。

  • 従業員には,一人に1 台デスクトップPC(以下,社内PC という)を貸与している。
  • 従業員が利用するシステムには,自社で開発しA 社に設置している業務システムのほかに,次の二つのSaaS(以下,二つのSaaS をA 社利用クラウドサービスという)がある。
    • 1. メール機能,チャット機能及びクラウドストレージ機能をもつグループウェア(以下,A 社利用グループウェアという)
    • 2. オンライン会議サービス
  • テレワークでは,従業員の個人所有PC(以下,私有PC という)の業務利用(BYOD)を許可している。
  • テレワークでは,社内PC 及び私有PC のそれぞれに専用のアプリケーションソフトウェア(以下,専用アプリという)を導入し,社内PC のデスクトップから私有PC に画面転送を行うリモートデスクトップ方式を採用している。
  • 専用アプリには,リモートデスクトップからPC へのファイルのダウンロード及びファイル,文字列,画像などのコピー&ペーストを禁止する機能(以下,保存禁止機能という)があり,A 社では私有PC に対して当該機能を有効にしている。
  • 業務システムには,社内PC のデスクトップから利用者ID 及びパスワードを入力してログインしている。
  • A 社利用クラウドサービスへのログインは,A 社利用クラウドサービス側の設定によってA 社の社内ネットワークからだけ可能になるように制限している。ログインには利用者ID 及びパスワードを用いている。

テレワークの定着が進むにつれて,社内PC からインターネットへの接続が極端に遅くなり,業務に支障をきたしているので改善できないかと,従業員から問合せがあった。A 社の社内ネットワークとインターネットとの間の通信量を調査したところ,テレワーク導入前に比べ,業務時間帯で顕著に増加していることが判明した。そのため,情報システム部では,テレワークでA 社利用クラウドサービスに接続する場合には,A 社の社内ネットワークも社内PC も介さずに直接接続することを可能にするネットワークの設定変更を実施することにした。

設定変更に当たり,情報セキュリティ上の問題がないかをA 社の情報セキュリティリーダーであるB さんが検討したところ,幾つか問題があることが分かった。その一つは,A 社利用クラウドサービスへの不正アクセスのリスクが増加することである。そこでB さんは,リスクを低減するために,情報システム部に対策を依頼することにした。

設問

次の対策のうち,情報システム部に依頼することにしたものはどれか。解答群のうち,最も適切なものを選べ。

解答群

  • ア  A 社の社内ネットワークから A 社利用クラウドサービスへの通信を監視する。
  • イ  A 社の社内ネットワークと A 社利用クラウドサービスとの間の通信速度を制限する。
  • ウ  A 社利用クラウドサービスに A 社外から接続する際の認証に 2 要素認証を導入する。
  • エ  A 社利用クラウドサービスのうち,A 社利用グループウェアだけを直接接続の対象とする。
  • オ 専用アプリの保存禁止機能を無効にする。

Show answer

解答

解説

まず,設定変更によって何が変わるのかを整理します。

変更前:クラウドサービスへのログインは「A 社の社内ネットワークから」に制限されていました。つまり ID・パスワードが漏えいしても,社外の攻撃者は社内ネットワークを経由しない限りログインできず,接続元制限が認証の弱さを補っていた状態です。

変更後:テレワーク端末(私有 PC)からインターネット経由で直接接続できるようになります。接続元制限という防壁がなくなるため,ID・パスワードさえ入手すれば世界中のどこからでもログインを試行できるようになり,不正アクセス(パスワードリスト攻撃,フィッシングで窃取した認証情報の悪用など)のリスクが増加します。

このリスクを低減する対策は,認証を強化することです。

  • ウ:社外から接続する際の認証に 2 要素認証を導入する。正解。 
    知識情報(パスワード)に加えて,所持情報(スマートフォンの認証アプリ,ハードウェアトークンなど)や生体情報を組み合わせれば,ID・パスワードが漏えいしても第 2 の要素がない攻撃者はログインできません。接続元制限の撤廃で弱くなった部分を直接補強する対策です。

他の選択肢を確認します。

  • ア:監視対象が「A 社の社内ネットワークから」の通信になっています。今回リスクが増加するのは社外からの直接接続の経路であり,監視対象がずれています。
  • イ:通信速度の制限は性能(帯域)の話であり,不正アクセスのリスク低減にはなりません。そもそも社内ネットワーク経由の通信を制限しても,社外からの不正アクセスとは無関係です。
  • エ:直接接続の対象をグループウェアだけに絞っても,そのグループウェア(メール・クラウドストレージという重要情報を含むサービス)への不正アクセスリスクは残ったままです。リスクの低減策として不十分です。
  • オ:保存禁止機能の無効化は,私有 PC への情報持出し(情報漏えい)リスクを増加させるだけであり,対策として逆効果です。

「接続元制限を外す → 認証強化(多要素認証)で補う」は,クラウドサービス利用・ゼロトラストの文脈で定番の組合せです。実務でも頻出の考え方なので,理由付きで理解しておきましょう。