平成23年春情報セキュリティスペシャリスト試験(SC) 午後Ⅰ 問４解説

FTP（File Transfer Protocol）
　ファイル転送プロトコル
　 FTPは暗号化しないため、FTPS・SFTP・SCPが推奨されている。

FTPS（File Transfer Protocol over SSL/TLS）
　SSL/TLSを用いて暗号化するプロトコル。

SFTP（SSH File Transfer Protocol）
　FTPで転送される情報を「SSH（Secure Shell）」を用いて暗号化するプロトコル。

SCP（Secure Copy Protocol）
　「SSH（Secure Shell）」を用いて暗号化するプロトコル。

SSH（Secure Shell）クライアントがSSHサーバに接続するときの認証方式には、パスワード認証方式と公開鍵認証方式がある。公開鍵認証方式では、クライアントの秘密鍵でもって接続を行う。

「定期的に」「分析」あたりの語句が必須か？

K課長が示した対策は以下である。

・DBMS標準アカウントの初期パスワードを変更する。
・CNT-MGRからDB接続ツールの実行権限を削除する。
・Rアプリで鍵長256ビットのAESを使って会員データを暗号化する。

この対策実施後に、N社が会員データを閲覧する方法を答える。

N社からはRアプリのスクリプトファイルの読取・書込・実行が可能なので、閲覧するスクリプトファイルを作ってしまえば、N社からも会員データが見れる。

N社の担当業務は「HTMLや画像ファイルなどのコンテンツファイルの保守」だけである。

最小権限の原則により、R社システム課担当のスクリプトファイルへのアクセス権限は必要ない。

犯人は、入手した大量の認証情報を、同じIPアドレスからログイン試行するはずである。ログイン試行の結果（一定回数以上認証失敗している）も含めないと誤検知が大量発生するため、これも解答に含めること。