企業診断を読む(2008年4月号) |
作成日:2008-04-27 最終更新日: |
実力養成セミナーの経営情報システムにある例題と解説を見よう。
ソーシャルエンジニアリングに関する記述である。
出張先でパスワードを忘れた部長が、 情報システム部の担当者にパスワードを教えてくれ、 という設定になっている。
解説を見ると、担当者は部長にコールバックし、 本人存在を確かめた上でパスワードを伝えることが必要、とある。 これは正しい。 しかし、不思議に思うことがある。 なぜ、情報システム部の担当者は、部長のパスワードがわかるのだろう。
システムによっては、 保存するパスワード情報は暗号化されているものであり、 平文の(暗号化されていない)パスワードは保存されていないものもある。 このほうが、パスワード漏洩の危険性が少ないとされている。 情報システム部という内部で漏洩を起こす可能性が少ないからだ。 もしパスワードを忘れた人が出て来たばあいは、 本人確認を行ったあとで、 再度新たなパスワードを情報システム部が発行し、 本人に伝える、という手順がよいと思う。 (2008-04-27)
まりんきょ学問所≫ 中小企業診断士(休止中)勉強の部屋≫ 日誌≫ 企業診断を読む(2008年4月号) 前月< > 翌月
