このエントリーをはてなブックマークに追加

[概要]

採用成立時に払う料金って年収の2〜3割と聞いたことを思い出した。

[求職者の個人情報の保護]

なるほど。メールが暗号化されていないのが嫌だと言う。

■表1 個人情報を含むメールが盗聴される危険性を踏まえた改善案
というか、普通は企業向けのWebページがあるだろと思った。

■会話
S/MIME PGP が出てきた。しかも認証局とからめて。合格する人なら、ラッキーと思える問題に違いない。
たしかにZIPパスワードとか解読するツールはあった気がする。

下線部②が登場。問題文を読むと、②を実現する対策の内容は何かと。例えば、gmailでログインに何回も失敗すると文字の入力を求めたり、あとは銀行系のサービスだったらミスは3回までとか、一定の回数ミスしたら時間を空けて再度対応してくださいとか、そんな例を思いついた。

結局、よくある企業向けページを用意するに決まった。

[求人企業向けWebページのパスワード]

わざわざ登記事項証明書を添付しないといけないのか。登記事項証明書は法務局で収入印紙を貼付けて取得できる。
そして下線部③が登場。なぜ、登記事項証明書に記載されてる住所に送ったかと。まあ、会社が存在するかを確認したいのだろうと思った。法人登記されていなければ、登記事項証明書は取得できない。予想ですが、求人側が法人じゃないと法律的に面倒くさいのだと思った。

ここで表2をじっくりみる。初期パスワード長過ぎだと思った。
ここで下線④が登場。初期パスワードを推測できるかもとの指摘。丁寧にも、初期パスワードが3倍した数字の下8桁と、発行日を合わせた数値と書いてある。利用者IDが連番で発行されていたら、推測できてしまう。「いつ発行されたか分からないだろ」とか言われてもやる気を出せばいつかログインできてしまいそう。登記事項証明書を出させてるのに、なんでこんなことになったのだろう。実際仕事でこんなことやったら、上司からの評価が下がるのは間違いない。Z主任はともかく、F部長はポジション的にやばいだろう。

次に、ユーザがパスワードを忘れた場合の話。
パスワード再設定手順を一読すると問題ないように見える。下線部⑤登場。問題があるらしい。そこで問題文をよむと、「総当たり攻撃以外にどのような手口があるか」と聞いている。総当たり攻撃レベルの話なんだと思うと、そういえばはじめにメールを暗号化してくれと言っていたなと思い出す。そして、それ以外思い浮かばないが、仮にこれが答えだとしたらこのプロジェクトは一体なんだったんだろうということになる。しかし、それ以外思い浮かばない。

下線部⑥登場。そしてまさかの見直し案を問う問題。ここで、「メールを暗号化する」と答えると間違いなくプロジェクトが破綻してしますので、再度問題分を見直す。すると、「なお、初期パスワードの通知書は、パスワードを変更した後も保管してください。」と書いてある。そこで、パスワードを変更する時って、古いパスワード入力するケースを思い出す。わざわざ保管しておけと問題文に書いているのだから、変更時にこれを入力すべきだろうと言う結論に達する。ところが、もしこの用紙を紛失したらどうするのかという疑問がわいたが、問題文にわざわざ書いているのだからと思い正解の確信を得る。

関連記事

  1. 平成22年春期 午後1問4(ウイルス駆除及び感染防止)
  2. 平成22年春期 午後1問3 (転職サイトにおける個人情報保護)
  3. 平成22年春期 午後1問2 (データの暗号化とバックアップ)
  4. 平成22年春期 午後2問1 (サーバの情報セキュリティ対策)
  5. 平成23年春期 午後1問4 (Webサイトのセキュリティ対策)
  6. 平成23年春期 午後1問3 (情報漏えい対策)
  7. 平成21年春期 午後1問2 (パケットログ解析)
  8. 平成22年秋期 午後1問3 (Webアプリケーションファイヤーウォールの導入)
  9. 平成23年春期 午後1問2 (ソフトウェア資産管理)
  10. H23午後1問3 プロキシ経由のWebアクセス